HTB | “Heist”靶机***详细思路

 guoyouy@126.com FreeBuf 

今天我们来看一下hackthebox里的一个靶机“Heist”,直接开始***。

一、信息搜集

先打开网站看看。是一个登陆框,使用弱口令和注入都无果。在网页中发现了 login as guest页面。

HTB | “Heist”靶机***详细思路HTB | “Heist”靶机***详细思路

留言中Hazard留言说思科路由器存在问题,并且附上了配置文件。我发现配置文件中含有三个加密的密码。应该是思科路由器专用的加密方式,所以我去搜索引擎上试着找相应的破解方式,发现了一个在线破解“password 7”的网站

http://www.ifm.net.nz/cookbooks/passwordcracker.html

HTB | “Heist”靶机***详细思路HTB | “Heist”靶机***详细思路HTB | “Heist”靶机***详细思路

password 5我发现没有合适的在线解密网站,所以使用john神器进行爆破。

john –wordlist=rockyou.txt pass.txt,破解成功。

HTB | “Heist”靶机***详细思路HTB | “Heist”靶机***详细思路

因此目前已知的用户名密码如下表:

HTB | “Heist”靶机***详细思路

密码有了,但是目前不知道他们是登陆什么的。

接下来扫描一下开放端口

nmap -p- 10.10.10.149 -T5

HTB | “Heist”靶机***详细思路

深入搜集端口信息和操作系统信息

Nmap -sC -sV -p 80,135,445,5985,49669 10.10.10.149

HTB | “Heist”靶机***详细思路

从IIS版本号来看应该是windows10 或者server 2016的操作系统。

二、SMB爆破

我们发现有445端口开放,所以我们试一下smb登陆爆破,字典就是刚才我们拿到的那些用户名和密码。这里使用msf中的smb_login 模块进行。成功发现用户名hazard,密码 stealth1agent。

HTB | “Heist”靶机***详细思路

然后通枚举靶机还存在哪些用户。这里我使用到了impacket的lookupsid工具进行暴力破解。

http://www.manongjc.com/article/97872.html

HTB | “Heist”靶机***详细思路

现在看下所有的用户和已知的密码:

再回头看一下可利用的端口,其中发现5985端口,它是Windows远程管理协议。

我们可以使用msf下的winrm_login模块进行爆破用户名和密码,字典同样是刚才的已知用户名和密码。

HTB | “Heist”靶机***详细思路

我们发现用户名:Chase 密码:Q4)sJu\8qz*A3?d可以登陆。

三、获取靶机Shell

接下来拿shell

https://alionder.net/winrm-shell/

使用上面链接中的POC,直接拿到powershell 并读取user.txt

HTB | “Heist”靶机***详细思路

下一步是拿admin的shell。

PS后发现有firefox正在运行,可能管理员正在用浏览器进行操作。想办法拿到进程日志。

HTB | “Heist”靶机***详细思路

接下来使用ProcDump.exe提取filefox的进程文件,其中firefox的pid为6804。

首先上传ProcDump.exe,我们可以从微软官网得到下载链接https://docs.microsoft.com/en-us/sysinternals/downloads/procdump

然后将procdump.exe上传至靶机,这里我使用了powershell 的Invoke-WebRequest从本机进行上传,前提是打开本机http服务,通过80端口进行传输。

HTB | “Heist”靶机***详细思路

使用./procdump.exe -mp 6804 导出对应的进程文件。

HTB | “Heist”靶机***详细思路

然后进行字符串查找,

get-content firefox.exe_191209_133946.dmp | findstr “password”

发现了管理员用户名和密码。

HTB | “Heist”靶机***详细思路

使用administrator账户拿到shell。

HTB | “Heist”靶机***详细思路

完成靶机***。

HTB | “Heist”靶机***详细思路

其中使用evil-winrm.rb也可以拿shell,并且上传下载操作更方便。

https://github.com/Hackplayers/evil-winrm

总结:

1.信息搜集

2.寻找80端口信息泄漏的密码

3.通过已知的用户枚举可能的用户名密码。

4.寻找主机的其他用户

5.5985端口的***以及拿shell

6.找管理员操作进程,提取进程文件,拿到管理员密码,并拿shell。


上一篇:HTB-靶机-Postman


下一篇:HTB-靶机-Traverxec