大家好,我是风淮,原本昨天计划今天写Tier1全部的,但是时间有点不够,就写一下Tier1的Responder。Tier前面两个是sql injection的,Three是S3存储桶的,Responder那边卡了一会,感觉更有价值一点,所以把几个知识点写在文章里,方便自己以后复习用。
Responder
目标:10.129.173.251
Nmap端口探测
Nmap -sS -A 10.129.173.251 -p- (全端口) --max-rate=5000 (10000也行)
80端口,开放Http服务;5985端口,WinRM服务基于HTTP(HTTPS)协议,使用5985端口(HTTPS使用5986端口)--------常用内网横向,这个会有用。
访问网页 10.129.173.251:80 得到域名 unika.htb,但是访问不了网页详细情况,所以找到kali的 /etc/hosts这个文件,将 IP 和 域名 写入进去。
为什么写入这个Hosts呢?因为网页寻址会优先寻找本地存在的DNS缓存记录
写入后访问网页,发现存在 page=french.html
Page作为接受参数,往往会导致文件包含---可能是LFI也有可能是RFI
先试试LFI(本地文件包含)
windows常用的是包含system.ini和win.ini
确实可以做本地文件包含,那么,随便写一个RFI(远程文件包含)
很好,Include函数导致的文件包含漏洞。
此时就存在两种拿Shell的思路
1)MSF生成上线的马子,再在本地开启8080服务,将马子挂在本地网页,利用远程文件包含进行下载上线,上线后做内网渗透
2)利用Responder,通过NTLM截取,在数据包内获取NTLM,从而再爆破Hash,由于没有开启RDP也没有开启SSH,但存在WIN-RM可以利用爆破后的账号密码再利用Poweshell做。(我猜这一关的名字大概就是用这个方法做,而且问题也是问的这个)
利用Responder抓取目标对Tun0端口发起请求的流量
获取账户,保存Hash,利用Hashcat进行密码爆破
成功获取密码后,利用evil-winrm进行登录,获取Powshell,利用语句进行txt的查看发现flag.txt(大目标就别用这个了,txt太多看不过来)
Get-ChildItem C: -Include *.txt -recurse
发现flag存放在如图的地址,进去,Type一下就可以获取Flag了。
原文始发于微信公众号(风淮的渗透日记):Hack the box-Responder ' Writeup
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论