HTB | 「Heist」靶機***詳細思路

 guoyouy@126.com FreeBuf 

今天咱們來看一下hackthebox裏的一個靶機「Heist」，直接開始***。

1、信息蒐集

先打開網站看看。是一個登錄框，使用弱口令和注入都無果。在網頁中發現了 login as guest頁面。

留言中Hazard留言說思科路由器存在問題，而且附上了配置文件。我發現配置文件中含有三個加密的密碼。應該是思科路由器專用的加密方式，因此我去搜索引擎上試着找相應的破解方式，發現了一個在線破解「password 7」的網站

http://www.ifm.net.nz/cookbooks/passwordcracker.html

password 5我發現沒有合適的在線解密網站，因此使用john神器進行爆破。

john –wordlist=rockyou.txt pass.txt，破解成功。

所以目前已知的用戶名密碼以下表：

密碼有了，可是目前不知道他們是登錄什麼的。

接下來掃描一下開放端口

nmap -p- 10.10.10.149 -T5

深刻蒐集端口信息和操做系統信息

Nmap -sC -sV -p 80,135,445,5985,49669 10.10.10.149

從IIS版本號來看應該是windows10 或者server 2016的操做系統。

2、SMB爆破

咱們發現有445端口開放，因此咱們試一下smb登錄爆破，字典就是剛纔咱們拿到的那些用戶名和密碼。這裏使用msf中的smb_login 模塊進行。成功發現用戶名hazard，密碼 stealth1agent。

而後通枚舉靶機還存在哪些用戶。這裏我使用到了impacket的lookupsid工具進行暴力破解。

http://www.manongjc.com/article/97872.html

如今看下全部的用戶和已知的密碼：

再回頭看一下可利用的端口，其中發現5985端口，它是Windows遠程管理協議。

咱們可使用msf下的winrm_login模塊進行爆破用戶名和密碼，字典一樣是剛纔的已知用戶名和密碼。

咱們發現用戶名：Chase 密碼：Q4)sJu\8qz*A3?d能夠登錄。

3、獲取靶機Shell

接下來拿shell

https://alionder.net/winrm-shell/

使用上面連接中的POC，直接拿到powershell 並讀取user.txt

下一步是拿admin的shell。

PS後發現有firefox正在運行，可能管理員正在用瀏覽器進行操做。想辦法拿到進程日誌。

接下來使用ProcDump.exe提取filefox的進程文件，其中firefox的pid爲6804。

首先上傳ProcDump.exe,咱們能夠從微軟官網獲得下載連接https://docs.microsoft.com/en-us/sysinternals/downloads/procdump

而後將procdump.exe上傳至靶機，這裏我使用了powershell 的Invoke-WebRequest從本機進行上傳，前提是打開本機http服務，經過80端口進行傳輸。

使用./procdump.exe -mp 6804 導出對應的進程文件。

而後進行字符串查找，

get-content firefox.exe_191209_133946.dmp | findstr 「password」

發現了管理員用戶名和密碼。

使用administrator帳戶拿到shell。

完成靶機***。

其中使用evil-winrm.rb也能夠拿shell，而且上傳下載操做更方便。

https://github.com/Hackplayers/evil-winrm

總結：

1.信息蒐集

2.尋找80端口信息泄漏的密碼

3.經過已知的用戶枚舉可能的用戶名密碼。

4.尋找主機的其餘用戶

5.5985端口的***以及拿shell

6.找管理員操做進程，提取進程文件，拿到管理員密碼，並拿shell。