前言
今天的靶机依然是HTB(Hack The Box)的靶机-- driver,通过这个靶机我们可以学到一些smb的知识,对后续AD域的靶机还是有一定帮助的。
开干:
1、环境准备
-
HTB的靶机
选择HTB的Driver靶机,下载HTB的VPN。
-
Kali
将HTB的vpn文件put到kali中,使用命令 openvpn + ovpn文件路径 命令开启vpn连接。连接成功会在HTB网页右上角显示CONNECTIONS
2、扫描开放端口
使用nmap命令扫描开放端口:
开放了80、135、445、5985端口。
3、寻找漏洞尝试利用
按照之前打靶的流程,通过ssh命令将本地流量代理到vps,配置浏览器代理,然后访问80端口:
一个登录入口,尝试弱口令登录,用admin/admin登录成功:
点击Firmware Updates,找到一个文件上传功能:
尝试上传一些反弹shell的exe、asp、aspx文件全都失败了,尝试nikto扫描、目录爆破也未发现可以利用信息:
接下来就看看其他端口了,139端口是Netbios服务,Netbios代表网络基本输入输出系统,它是一种软件协议,允许局域网上的应用程序、PC和台式机与网络硬件进行通信并通过网络传输数据。445端口是smb服务,smb系统作为应用层网络协议运行,主要用于提供对文件、打印机、串行端口及网络节点之间其他类型通信的共享访问。5985端口是WinRM服务,WinRM是一种Microsoft协议,允许使用SOAP通过HTTP(S)远程管理windows计算机。
先用netbios扫描内网存活:
没什么发现。
接着使用nmap --script "smb-vuln*" -p 445 [ip] 命令查看下smb服务有什么漏洞:
ms10-054、ms10-061都无法利用,接下来尝试smb连接到网络共享:
全都连不上。
这时候已经没啥思路了,回到web页面查看有没有遗漏的信息:
这里提到了,将固件更新上传到他们的文件共享。这意味着它不一定会发送到网络服务器,因此这边继续尝试上传webshell没有多大意义。
当您对文件共享具有写访问权限时,典型的攻击是删除.scf引用攻击者控制的主机上的 SMB 共享上的图标文件的文件。.scf如果使用文件资源管理器打开包含该文件的文件夹,.scf则会激发资源管理器重新连接以获取该图标文件,并提供 Net-NTLMv2 身份验证协商。如果我控制该主机,我就可以捕获该交换并尝试使用离线暴力破解 Net-NTLMv2(如hashcat)。
SCF文件是Windows Shell命令文件,可用于执行一组有限的操作,例如显示Windows桌面或者打开Windows资源管理器。文件格式如下
[Shell]
Command=2
IconFile=<icon file>
[<thing you want to control>]
Command=<command>
下面我们构造一个SCF文件,然后将IconFile的路径指定为我们本地的文件。
当目标浏览共享时,将自动会从系统建立网络连接,连接到包含在SCF文件内的UNC路径。Windows将尝试使用用户名和密码对该共享进行身份验证。在验证过程中,随机的8字节质询密钥会从服务器发送到客户端,散列后的NTLM / LANMAN密码再次使用这个质询密钥进行加密。Responder将捕获NTLMv2哈希。
使用responder监听网卡,捕获浏览共享用户的hash:
靶机web页面上传构造的scf文件后:
接下来用hashcat爆破NTLMv2哈希,NTLMv2的哈希标识符为5600:
得到用户名密码为 TONY:liltony
因为5985端口开着,接下来使用evil-winrm连接:
获取用户flag:
4、提权
查看系统版本:
提示没有权限,接下来使用winpeas来搜集提权信息。
先wget下载winPEASx64.exe工具(和linpeas.sh类似的搜集windows提权信息的工具),然后开启smbserver:
靶机copy文件:
执行winPEAS后查找有用的信息:
这边发现一个spoolsv的进程正在运行,搜下有没有漏洞可以利用:
查看CVE-2021-1675的利用方法:
将CVE-2021-1675.ps1下载到vps,靶机使用upload命令下载到靶机,然后执行Import-Module命令:
报错了,搜了下解决方案,需要设置execution policy为Unrestricted:
设置完成后,继续执行之前命令:
执行成功后用evil-winrm连接:
读取root Flag:
5、总结
这次的windows靶机,这次的靶机学到了一些smb和ntlm相关的知识,对以后打域控还是非常有帮助的,成为old driver之路,任重道远鸭~
原文始发于微信公众号(从黑客到保安):跟着大佬学渗透之进阶篇09
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论