信息收集：

Tcp協議：

nmap -p- -sT --min-rate=1000 -Pn 10.129.228.120

Udp協議：

nmap -p- -sU --min-rate=1000 -Pn 10.129.228.120

nmap -p53,80,88,135,139,389,445,464,636,3268,3269,5985,9389,49667,49674,49693 -sC -sV -Pn -O -sT 10.129.228.120

?發現flight.htb，加入hosts文件中

DNS協議：

dig 10.129.228.120 -x 10.129.228.120

?區域傳輸：

dig 10.129.228.120 axfr flight.htb

可惜沒有什么新的東西

LDAP協議：

基礎查詢：

ldapsearch -H ldap://flight.htb -x -s base -b '' "(objectClass=*)" "*" +

發現子域名g0.flight.htb，加入hosts文件中

SMB協議：

匿名訪問失敗

子域名爆破:

wfuzz -c -f subdomains.txt -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u "http://flight.htb/" -H "Host: FUZZ.flight.htb" --hh 7069

發現子域名school，加入hosts文件中

訪問web頁面發現了index.php?view=，可能存在LFI漏洞

?發現有警告，證明大概率是有漏洞

?發現可以強制使用網絡共享，成功截獲hash

利用john暴力破解，獲取了明文密碼

?

利用剛才得到的用戶名與密碼，有SMB訪問權限

?枚舉出一些用戶，加入用戶字典中

利用之前獲取的密碼與剛獲取的用戶名字典，繼續爆破，發現S.Moon也是相同密碼

可惜還是不能登陸

但是有一點不同的是，這個新用戶在Shared目錄有寫入權限，感覺可能會定時刪除該目錄下的文件，或者上傳shell（老套路了）

?制作desktop.ini文件

?上傳到Shared目錄下

利用responder監聽

responder -I tun0 -wPv

?幾秒鐘后，成功獲取c.bum的hash

成功破解c.bum的hash ?

可惜還是無法利用winrm登陸 ?

?再次查看smb的權限，發現增加了web目錄下的寫入權限，大概率可以傳shell

訪問web目錄，果然可以傳shell

?

利用RunasCs切換用戶，并反彈shell，獲取c.bum用戶權限 ?

發現內部開放了8000端口，但是在之前端口掃描時，并沒有掃描出，這里應該存在問題

利用chisel.exe進行端口轉發

?訪問127.0.0.1:8000，再次發現web頁面

上傳webshell，訪問后，成功反彈shell

檢查后發現當前用戶存在SeCreateTokenPrivilege 權限，在這種情況下，用戶可以創建一個模擬令牌并向其添加特權組 SID，可以利用土豆提權獲取system權限

?

?加載potato.exe，利用nc，成功反彈system權限的shell

?

這個靶機主要考驗耐心，它在你上傳shell的目錄，間隔一小段時間就會重置

總結

以上是生活随笔為你收集整理的HTB打靶日记：Flight的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。