**
HackTheBox-windows-Nest-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/225
靶机难度:初级(4.3/10)
靶机发布日期:2020年6月4日
靶机描述:
Nest is an easy difficulty Windows machine featuring an SMB server that permits guest access. The shares can be enumerated to gain credentials for a low privileged user. This user is found to have access to configuration files containing sensitive information. Another user’s password is found through source code analysis, which is used to gain a foothold on the box. A custom service is found to be running, which is enumerated to find and decrypt Administrator
credentials.
作者:大余
时间:2020-08-20
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.178…
nmap扫描发现仅开放了445和4386端口…这里Reporting Service1.2可以用telnet连接…开始
目前先枚举445的smb…发现了一些目录…
这里将Data目录全部下载到本地枚举中发现了用户名密码…
利用新的用户名密码继续SMB枚举…
继续讲data目录全部下载到本地枚举…网络很不稳定…
发现了加密的哈希值…
在下载Secure目录时,发现了sln程序,这是VS的二进制转换程序…检查
利用visual studio 2017打开运行后,发现需要调用RU_Config.xml文件…这是前面data读取到的加密的hash文件…
重新下载下,前面删除了…
将文件放入报错指定的文件目录…拉入断点,执行后发现了密码信息…
这里用户名前面SMB枚举过,自己把SMB的所有目录信息都看一遍就行了,很简单…
继续登录SMB新用户,获得user_flag信息…继续将里面的目录都下载到本地枚举…
可看到AD Integration Module目录下包含了HqkLdap.exe…
在解密Password.txt下,获得了新密码…该密码很短,应该是4386的登录密码…
通过telnet登录,不懂命令的可以help,我也全程help,利用DEBUG登录…
继续枚举发现了LDAP目录下的两个文件,一个遇到过的Hqkldap.exe,另一个是conf文件…
读取发现又是加密密匙…又要到win10上解密了…
利用dnSpy64打开Hqkldap.exe程序,简单阅读了里面的程序编码…就是利用Hqkldap.exe和conf解密…
命令:
Console.WriteLine("The Password Is: ");
Console.WriteLine(ldap.Password);
修改下即可…
保存模块…
命令:echo "" > HqkDbImport.exe
可看到执行后还需要HqkDbImport.exe程序执行出结果…这里建立个空的即可…
然后执行后获得了密码…
这里知道了administrator用户密码后,很多方法可以获得system权限的方式…
成功获得了root_flag信息…
该台靶机巨卡!!!!不知道为什么…
耽误了太久了,网络问题,延迟不大就是无法连接…
就是把所有的SMB目录枚举后…一步一步利用VS和DNspy解析即可…
要简单会使用VS和dnSpy即可轻松提权…
由于我们已经成功得到root权限查看user和root.txt,因此完成这台初级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。