[HTB]“Heist”靶机渗透详细思路
今天我們來看一下hackthebox里的一個靶機“Heist”,直接開始滲透。
一、信息搜集
先打開網(wǎng)站看看。是一個登陸框,使用弱口令和注入都無果。在網(wǎng)頁中發(fā)現(xiàn)了 login as guest頁面。
留言中Hazard留言說思科路由器存在問題,并且附上了配置文件。我發(fā)現(xiàn)配置文件中含有三個加密的密碼。應該是思科路由器專用的加密方式,所以我去搜索引擎上試著找相應的破解方式,發(fā)現(xiàn)了一個在線破解“password 7”的網(wǎng)站
http://www.ifm.net.nz/cookbooks/passwordcracker.html
password 5我發(fā)現(xiàn)沒有合適的在線解密網(wǎng)站,所以使用john神器進行爆破。
john –wordlist=rockyou.txt pass.txt,破解成功。
因此目前已知的用戶名密碼如下表:
密碼有了,但是目前不知道他們是登陸什么的。
接下來掃描一下開放端口
nmap -p- 10.10.10.149 -T5
深入搜集端口信息和操作系統(tǒng)信息
Nmap -sC -sV -p 80,135,445,5985,49669 10.10.10.149?
從IIS版本號來看應該是windows10 或者server 2016的操作系統(tǒng)。
二、SMB爆破
我們發(fā)現(xiàn)有445端口開放,所以我們試一下smb登陸爆破,字典就是剛才我們拿到的那些用戶名和密碼。這里使用msf中的smb_login 模塊進行。成功發(fā)現(xiàn)用戶名hazard,密碼 stealth1agent。
然后通枚舉靶機還存在哪些用戶。這里我使用到了impacket的lookupsid工具進行暴力破解。
http://www.manongjc.com/article/97872.html
現(xiàn)在看下所有的用戶和已知的密碼:
再回頭看一下可利用的端口,其中發(fā)現(xiàn)5985端口,它是Windows遠程管理協(xié)議。
我們可以使用msf下的winrm_login模塊進行爆破用戶名和密碼,字典同樣是剛才的已知用戶名和密碼。
我們發(fā)現(xiàn)用戶名:Chase 密碼:Q4)sJu\8qz*A3?d可以登陸。
三、獲取靶機Shell
接下來拿shell
https://alionder.net/winrm-shell/
使用上面鏈接中的POC,直接拿到powershell 并讀取user.txt
下一步是拿admin的shell。
PS后發(fā)現(xiàn)有firefox正在運行,可能管理員正在用瀏覽器進行操作。想辦法拿到進程日志。
接下來使用ProcDump.exe提取filefox的進程文件,其中firefox的pid為6804。
首先上傳ProcDump.exe,我們可以從微軟官網(wǎng)得到下載鏈接https://docs.microsoft.com/en-us/sysinternals/downloads/procdump
然后將procdump.exe上傳至靶機,這里我使用了powershell 的Invoke-WebRequest從本機進行上傳,前提是打開本機http服務,通過80端口進行傳輸。
使用./procdump.exe -mp 6804 導出對應的進程文件。
然后進行字符串查找,
get-content firefox.exe_191209_133946.dmp | findstr “password”
發(fā)現(xiàn)了管理員用戶名和密碼。
使用administrator賬戶拿到shell。
完成靶機滲透。
其中使用evil-winrm.rb也可以拿shell,并且上傳下載操作更方便。
https://github.com/Hackplayers/evil-winrm
總結:
1.信息搜集
2.尋找80端口信息泄漏的密碼
3.通過已知的用戶枚舉可能的用戶名密碼。
4.尋找主機的其他用戶
5.5985端口的入侵以及拿shell
6.找管理員操作進程,提取進程文件,拿到管理員密碼,并拿shell。
?
總結
以上是生活随笔為你收集整理的[HTB]“Heist”靶机渗透详细思路的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: re.DOTALL --编写多行模式的正
- 下一篇: httrack 拷贝网站到本地(好东西,