看到这台靶机已经retired,这是自己在HTB上接触的第一台win,学习比较多关于smb的内容,靶机个人认为还是比较CTF-like,就写着回忆以下吧。由于几个月前做到,所以只能记录下要点了。
Nmap 查看开放端口,开放了445和4386
foothold:
smbclient -L 10.10.10.178 -N 获得shares
smbclient //10.10.10.178/Users -N,建立空连接进Users,找到TempUser的账号密码。
User:
smbmap -H 10.10.10.178 -u TempUser -p welcome2019,看看能访问的shares,在Data中找到2个关键文件:
①RU_config.xml:C.Smith的加密base64 fTEzAfYDoz1YzkqhQkH6GQFYKp1XY5hm7bjOP86yYxE=
第一个卡住的地方:②config.xml中有关键提示<File filename="\\HTB-NEST\Secure$\IT\Carl\Temp.txt" />,虽然不能在//10.10.10.178/Secure$中cd IT,但可以直接cd IT\Carl
然后下载RUScanner工程文件,其中的Utils.vb是加密base64的解密程序,用.NET Fiddle在线改下代码,删去不要的encrypt(只留还有用),解密base64得到密码xRxRxPANCAK3SxRxRx。
(看了下别人写的walkthrough,也可以不用改程序,直接用CyberChef来AES Decrpyt,参数就是程序中Decrypt函数里的。)
登录到C.Smith:smbclient //10.10.10.178/Users -U C.Smith,get user.txt,同时下载得到HqkLdap.exe
Root:
以C.Smith连接smb,找到一个文件‘Debug Mode Password.txt’,但是下载下来是空的。
第二个卡住的地方:
在smbclient中用allinfo "Debug Mode Password.txt"可以看都两个stream,用get "Debug Mode Password.txt:Password",得到debugMode的密码WBQ201953D8w。
telnet 10.10.10.178 4386,debug WBQ201953D8w,然后用help中的几个指令,可以找到administrator的config.xml中的base64。
用ILSPY反编译HqkLdap.exe,得到加解密的关键参数,和解密C.Smith的时候差不多,在.NET Fiddle修改程序,得到admin密码XtH4nkS4Pl4y1nGX,用smbclient登陆获取root.txt。
基本就是靠着forum中的各种hints续命。