Hack the box-Responder ' Writeup

admin 2023年2月9日09:26:29评论101 views字数 1075阅读3分35秒阅读模式

大家好,我是风淮,原本昨天计划今天写Tier1全部的,但是时间有点不够,就写一下Tier1的Responder。Tier前面两个是sql injection的,Three是S3存储桶的,Responder那边卡了一会,感觉更有价值一点,所以把几个知识点写在文章里,方便自己以后复习用

Responder

目标:10.129.173.251

Nmap端口探测

Nmap -sS -A 10.129.173.251 -p- (全端口) --max-rate=5000 (10000也行)

Hack the box-Responder ' Writeup

80端口,开放Http服务;5985端口,WinRM服务基于HTTP(HTTPS)协议,使用5985端口(HTTPS使用5986端口)--------常用内网横向,这个会有用。

访问网页 10.129.173.251:80 得到域名 unika.htb,但是访问不了网页详细情况,所以找到kali的 /etc/hosts这个文件,将 IP 和 域名 写入进去。

为什么写入这个Hosts呢?因为网页寻址会优先寻找本地存在的DNS缓存记录

写入后访问网页,发现存在 page=french.html 

Hack the box-Responder ' Writeup

Page作为接受参数,往往会导致文件包含---可能是LFI也有可能是RFI

先试试LFI(本地文件包含)

windows常用的是包含system.ini和win.ini

Hack the box-Responder ' Writeup

确实可以做本地文件包含,那么,随便写一个RFI(远程文件包含)

Hack the box-Responder ' Writeup


很好,Include函数导致的文件包含漏洞。

此时就存在两种拿Shell的思路

1)MSF生成上线的马子,再在本地开启8080服务,将马子挂在本地网页,利用远程文件包含进行下载上线,上线后做内网渗透

2)利用Responder,通过NTLM截取,在数据包内获取NTLM,从而再爆破Hash,由于没有开启RDP也没有开启SSH,但存在WIN-RM可以利用爆破后的账号密码再利用Poweshell做。(我猜这一关的名字大概就是用这个方法做,而且问题也是问的这个)

Hack the box-Responder ' Writeup

利用Responder抓取目标对Tun0端口发起请求的流量

Hack the box-Responder ' Writeup


获取账户,保存Hash,利用Hashcat进行密码爆破

成功获取密码后,利用evil-winrm进行登录,获取Powshell,利用语句进行txt的查看发现flag.txt(大目标就别用这个了,txt太多看不过来)

Get-ChildItem C-Include *.txt -recurse


Hack the box-Responder ' Writeup


发现flag存放在如图的地址,进去,Type一下就可以获取Flag了。


原文始发于微信公众号(风淮的渗透日记):Hack the box-Responder ' Writeup

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月9日09:26:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Hack the box-Responder ' Writeuphttps://cn-sec.com/archives/1543404.html

发表评论

匿名网友 填写信息