靶机HacktheBox之Nest

已于 2024-01-09 16:47:39 修改
阅读量56 收藏
点赞数
文章标签: 服务器 linux 数据库
于 2023-08-07 12:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44005305/article/details/132127502
版权

信息收集

发现目标主机只开放了两个端口,其中445端口可能存在匿名登录。

image.png

使用smbmap工具匿名登录成功,发现Data和Users目录是可读权限

image.png

使用smbclient进行登录,并将相关文件下载分析

image.png

下载的文件中,发现了TempUser账户的用户名和密码

image.png

漏洞利用

使用这个账户名和密码进行smb登录,发现拥有Secure$目录的权限

image.png

使用这个账户登录到data目录后,发现又能访问和下载更多的文件

image

在其中的RU_config.xml文件中,发现了存在一段加密的字符串。经过base64解密,发现不能解密成功

image

image

在NotepadPlusPlus目录中发现了一个config文件,这个文件中发现了一个新的目录\HTB-NEST\Secure$\IT\Carl\

image

在RU目录上发现了一个C#的项目

image

在Module1.vb这个文件上发现存在RU_Config.xml这个文件,这个文件包含了用户名和密码信息

image

根据代码的提示,程序要运行需要RU_Config.xml文件,设置断点,可以看到解密成功的密码

image

因为目标主机没有开放22端口,所以只能通过SMB服务的Users文件夹中进行flag值提取

image

用户提权

使用C.Smith账号登录到SMB应用后,发现了一个备份文件的xml,下载分析后发现了一个新的SMB路径

image

从应用程序的端口上看,这个应用是运行在4386端口的,也就是之前的telnet端口,开启Debug模式并进入C:\Program
Files\HQK这个目录下

image

进入到LDAP目录中,查看LDAP.conf文件,发现了Administrator用户的加密值

image

为了更好地分析密码是通过怎样进行加密的,因此需要对HqkLdap.exe这个程序进行代码分析,将其导入到dnSpy程序中进行分析

image

可以深层次看到代码逻辑是,通过命令行去传递文件中读取配置。因为DS函数涉及到密码的加密方式,因此可以去跟踪一下这个函数的具体实现方法

image

然后跟踪到RD这个方法上,RD这个方法是将密文还原成明文的形式。对比Utils.vb这个文件,里面的代码实现逻辑是和RD这个方法一致的

image

因此可以根据这些代码,保留大部分的代码,并别写解密脚本

using System;
using System.IO;
using System.Text;
using System.Security.Cryptography;
namespace Dec {
class Decryptor {
public static void Main() {
    
	var EncryptedString = "yyEq0Uvvhq2uQOcWG8peLoeRQehqip/fKdeG/kjEVb4=";
	var pt = Decrypt(EncryptedString, "667912", "1313Rf99", 3,"1L1SA61493DRV53Z", 256);
	Console.WriteLine("Plaintext: " + pt);
}
    
public static String Decrypt(String cipherText, String passPhrase, String saltValue, int passwordIterations, String initVector,int keySize) {
    
	var initVectorBytes = Encoding.ASCII.GetBytes(initVector);
	var saltValueBytes = Encoding.ASCII.GetBytes(saltValue);
	var cipherTextBytes = Convert.FromBase64String(cipherText);
	var password = new Rfc2898DeriveBytes(passPhrase, saltValueBytes,passwordIterations);
	var keyBytes = password.GetBytes(keySize / 8);
	var symmetricKey = new AesCryptoServiceProvider();
	symmetricKey.Mode = CipherMode.CBC;
	var decryptor = symmetricKey.CreateDecryptor(keyBytes, initVectorBytes);
	var memoryStream = new MemoryStream(cipherTextBytes);
	var cryptoStream = new CryptoStream(memoryStream, decryptor,CryptoStreamMode.Read);
	var plainTextBytes = new byte[cipherTextBytes.Length];
	var decryptedByteCount = cryptoStream.Read(plainTextBytes, 0,plainTextBytes.Length);
	memoryStream.Close();
	cryptoStream.Close();
	var plainText = Encoding.ASCII.GetString(plainTextBytes, 0,decryptedByteCount);
	return plainText;
		}
	}
}

使用mcs命令生成一个exe文件,命令为mcs decrypt.cs,并运行他获得Administrator的明文值

image

image

最后使用psexec.py脚本获得SYSTEM32的权限

image

641474)]

[外链图片转存中…(img-1MjUM6Zk-1691282641476)]

最后使用psexec.py脚本获得SYSTEM32的权限

[外链图片转存中…(img-CHCTmAce-1691282641477)]

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AFPAPB2v-1691282641478)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一:基础入门

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tS5LPUJF-1691282641480)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二:技术进阶(到了这一步你才算入门)

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ADMrDPUJ-1691282641481)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三:高阶提升

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-x4K8nLIy-1691282641482)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四:蓝队课程

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4nF49nWI-1691282641484)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。

攻防兼备,年薪收入可以达到40w+

阶段五:面试指南&阶段六:升级内容

img

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

同学们可以扫描下方二维码获取哦!

教IT的无语强
关注
和oscp相似的靶机-hackthebox & vulnhub (OSCP-LIKE HACKTHEBOX & VULNHUB)
冬萍子癸水
04-06 3158
每台都做一做,然后记录在博客里.供自己和大家一起学习.
[Hack The Box] 靶机1 Meow+Paper
Huamang的博客
03-24 1790
前言 久闻HTB平台大名,这里不需要下载镜像自己打了,可以直接在网上开好镜像,连上vpn直接干 这次就算是对这个平台的一个熟悉操作吧 Meow 下载到了open文件,kali连接上 然后测试一下可以ping通了 然后就开nmap跑 nmap -sV 10.129.160.90 开启了23端口,telnet服务,直接连接,root账户 直接拿flag 这个算是白给的 Paper 下面就开始打正式的靶机了 一开始开启靶机ping不通,发现Starting Point和Machines居然不是用的一个
HTB Nest WalkThrough
dead_chain的专栏
06-11 264
看到这台靶机已经retired,这是自己在HTB上接触的第一台win,学习比较多关于smb的内容,靶机个人认为还是比较CTF-like,就写着回忆以下吧。由于几个月前做到,所以只能记录下要点了。 Nmap 查看开放端口,开放了445和4386 foothold: smbclient -L 10.10.10.178 -N 获得shares smbclient //10.10.10.178/Users -N,建立空连接进Users,找到TempUser的账号密码。 User: smbmap..
nest+mongoose+graphql的使用
水痕
02-06 2163
一、初始化项目及安装一些包 1、官网克隆种子文件 $ git clone https://github.com/nestjs/typescript-starter.git project $ cd project $ npm install 2、安装graphql包及mongoose包(安装包后可能会报错,需要重新安装ts-node) $ npm install --save @nestj
nest框架之前后台传参
weixin_34148456的博客
08-23 548
最近看到别人的一个项目中使用了nest作为controller,上网百度也没有找到对于nest的更进一步说明,于是边对比边总结。 nest引入的jar包如下: 使用nest作为controller层,页面ajax如下: nest后台接受如下: 注意参数的传递过程:在ajax的url中指定完类中对应的方法后,后台直接使用前台传递的参数,无需像springMVC中通过request...
hack the box optimum靶机
zr1213159840的博客
04-21 2190
首先打开靶场,直接nmap开扫。 nmap -sV -Pn -A 10.10.10.8 通过扫描结果知道开启了80端口,80端口跑了HFS服务。顺势去msf搜索一下HFS有哪些漏洞 search hfs 使用下面的hfs的命令执行,然后看下要配置哪些东西 use 1 options 需要配置好远程主机,本地主机,配置好,run。多run几次,前面几次容易失败,而且要等挺久的。 set RHOSTS 10.10.10.8 set LHOSTS 10.10.14.17 run 利用成功后,返回me
hack the box lame靶机
zr1213159840的博客
04-13 628
首先打开靶机,给了提示,说是cve-2007-2447,搜索这个漏洞编号后,发现是一个samba漏洞,名字叫usermap_script 使用nmap扫描一下看看,能发现确实是存在samba的。 nmap -sV -Pn -A 10.10.10.3 打开msf,然后搜索usermap_script search usermap_script 然后使用第一个exploit use 0 查看一下需要设置哪些东西 options 将远程地址设置为10.10.10.3,远程的端口设置为445(才开
HackTheBox靶机系列之困难Reel
04-09
HackTheBox靶机系列之困难Reel 本篇文章主要介绍了Reel靶机的整个利用过程,从侦察到提权,涵盖了渗透测试、漏洞利用、信息收集等多个方面的知识点。 侦察阶段 在Reel靶机中,我们首先进行了侦察,扫描了21、22、...
Hack the box的Easy难度比较有价值的靶机.rar
11-04
"Hack the Box"(HTB)是一个在线平台,提供各种虚拟靶机,让安全专家和爱好者通过模拟真实世界的攻击场景来提升自己的技能。这个“Easy”难度级别的靶机是为初学者设计的,旨在帮助他们入门渗透测试的基础知识。 ...
连接Hack The Box靶场教程
Atopos545的博客
01-24 1213
进去后选好节点,随便选一个就行。免费的就是下载对方vpn并连接,付费的就直接开启一个Pwnbox,我就用的是免费的,这里只介绍免费的方法。下好后把文件放到kali虚拟机里面,创建一个文件放进去就可以了,或者放桌面都行,就看你启动的时候方不方便。之后在终端启动openvpn,就刚才放进kali的文件。新手都是从Starting Point开始的,这里就以这个为例,其他的复刻一下这个步骤就好了。这三种分别对应左边的三种靶机,你要打那个靶机就去开启那个靶机对应的vpn。这样就可以尽情的去打靶,去渗透了!
基于高通主板的ARM架构服务器
D404234的博客
09-11 1382
但高通在服务器市场面临激烈竞争,联发科在手机芯片市场挑战高通,苹果加快自研芯片使用步伐给高通压力,服务器市场英特尔占主导,高通要成功需克服诸多困难。高通在服务器芯片领域面临挑战,有收购与专利问题,博通收购后高通削减“非核心业务”支出,Intel 市占率高且 Arm 生态和软件不完善,高通在 Arm 服务器芯片市场进展不大,2018 年高通服务器芯片部门裁员约 280 名,占部门总人数一半左右,业务前景充满不确定性。易获取部署,众多供应商,90%主流软件适配,兼容性强,常见系统和程序可顺畅运行。
Windows电脑A远程连接电脑B
weixin_44750594的博客
09-11 258
3. 打开电脑A,如果默认没有搜索图标出来,可以利用Windows+X调用出搜索命令,之后输入“远程桌面连接”,打开远程桌面把B电脑的IP输入。ip看以无线局域网适配器 WLAN里面的本地链接IPV6地址:X.X.X.X(这是那个地址的格式就是,例如为10.222.1.2)4. 如果电脑B有密码和名字,把电脑的名字和电脑密码输入给A,这样就可以连接。
怎么选择适合的服务器
2403_86998484的博客
09-14 451
大家都知道,不管是公司还是个人,在数字化浪潮已经席卷全球的环境下,大家对服务器的需求是日渐增长的。很多人在买服务器的时候,多少都有点选择困难,今天我们就来对比下物理服务器和弹性云服务器,看看选哪个更省心。业务规模:如果你的业务还在起步阶段,或者只是想自己倒腾点东西,比如建steam游戏的服务器、建个人博客、论坛等,那么云服务器应该更适合你。想象一下,物理服务器就像你家的老式冰箱,虽然样子有点过时,但性能稳定,用起来心里踏实。而弹性云服务器,就像是你的智能手机,随时随地,想怎么用就怎么用。
828华为云征文 | 华为云X实例服务器上部署知识图谱项目的详细指南
cooldream2009的博客
09-11 1434
知识图谱作为数据整合、语义分析和人工智能的重要基础,逐渐被广泛应用于各类领域。其通过结构化数据和关系映射,帮助用户更好地理解数据背后的意义。本文将详细介绍如何在华为云X实例服务器上部署一个完整的知识图谱项目,涵盖开发环境JDK、Tomcat应用服务器、Virtuoso图数据库以及MySQL关系型数据库的安装与配置。结合实例的硬件配置,我们将讨论其性能表现,帮助读者理解如何高效利用云服务器资源。
【银河麒麟高级服务器操作系统】虚拟机服务器执行systemctl提示timeout——分析全过程及处理建议
银河麒麟操作系统的博客
09-10 1286
了解全新产品,请点击访问产品信息产品名称银河麒麟高级服务器操作系统(海光版)V10ISO环境信息主机型号虚拟机systemd崩溃,后续systemd连接异常,systemctl失败。需要查明systemd崩溃原因根据sosreport中的messages信息,systemd发生了coredump,收到了信号SIGQUIT。见图2.1.1图2.1.1使用gdb分析systemd的coredump文件,显示systemd是收到了SIGQUIT后发生的coredump。并未调用错误处理函数。
Zabbix自定义监控项与触发器
henanchenxuyuan的博客
09-11 1506
Zabbix 中内置了很多监控参数(Key),我们可以通过在客户端配置文件中定义 key,获取监控对象中的系统、CPU、网络、内存、文件系统等信息。Key(键)是 zabbix 标记 item 的键,是一种标识符。利用 key 可以定义一个监控对象,那么这个监控对象肯定是采集数据的,但是采集数据的时候可能存在很多节点与 server 交互,那么需要具体采集哪个节点,就可以用 key 进行采集。
postgres_fdw访问存储在外部 PostgreSQL 服务器中的数据
不会编程的猫星人
09-14 1107
postgres_fdw访问存储在外部 PostgreSQL 服务器中的数据
集群聊天服务器项目【C++】(二)Json的简单使用
最新发布
xaiobai123的博客
09-14 500
Json是一种轻量级的数据交换格式(也叫数据序列化方式)。Json采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得 Json 成为理想的数据交换语言。易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。在网络传输中,一般有3中常见的序列化格式:XML,Json、ProtoBufProtoBuf:数据压缩编码传输,占用带宽小,复杂Json:相比与ProtoBuf更简单,但性能差一点XML:性能差本项目使用Json完成网络数据的序列化与反序列化。
在 Ubuntu 下通过 Docker 部署 Misskey 服务器
shelby_loo的博客
09-11 569
Docker 是一个开源的应用容器引擎,它可以让开发者将应用及其依赖打包成一个标准化的容器,从而实现一致的开发、测试和生产环境。使用 Docker 部署应用可以极大地简化环境配置和版本管理。Misskey 是一个基于 Node.js 的社交媒体平台,支持多种功能,如发布状态、评论、私信等。它有着友好的用户界面和强大的扩展性,非常适合个人和小型社区使用。通过 Docker 部署 Misskey,我们可以快速搭建自己的社交媒体平台,而无需深入了解复杂的安装过程。
hack the box three
07-28
回答: 根据提供的引用内容,我了解到"Hack The Box"是一个在线平台,提供了一系列的虚拟机供用户进行渗透测试和漏洞利用的训练。根据引用\[1\]中的信息,可能涉及到nmap扫描、访问靶机地址、查看/etc/hosts、使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值