#HACKTHEBOX——Driver

news/2024/12/23 20:55:16/文章来源:https://www.cnblogs.com/LeouMaster/p/18450759

靶机详情

image-20240928125113024

靶机地址:10.10.11.106

kali地址:10.10.16.4

初始侦察与渗透

  1. 确认kali与靶机之间可以ping通

    image-20240928125248547

  2. 使用nmap进行侦查扫描

    nmap -sT --min-rate 1000 -p- 10.10.11.106	#以TCP协议,基于当前网络情况,以最低1000的速率进行该IP的全部端口
    

    image-20240928132122330

    nmap -sT -sC -sV -p 80,135,445,5985 10.10.11.106	#详细信息扫描:指定以TCP协议、以默认脚本进行扫描、探测各服务的版本
    

    image-20240928132947418

    nmap -sU --top-ports 20 10.10.11.106	#指定UDP协议扫描常用的20个UDP端口
    

    image-20240928133132342

    nmap --script=vuln -p 80,135,445,5985 10.10.11.106	#漏洞脚本扫描
    

    image-20240928142444578

  3. 先看一下80端口,在浏览器中进行访问

    image-20240928143126936

    存在登录框,根据之前在对端口进行扫描的时候,有一个提示

    image-20240928143222706

    猜测此处登录的用户名为admin,可以进行弱口令猜测,也可以直接进行简单的爆破

    nmap --script=http-brute -p 80 10.10.11.106
    

    image-20240928145451942

    这里存在弱口令admin/admin

    image-20240928143429561

    在页面的最下面看到了一个域名:driver.htb,先将这个域名添加到host文件中,然后查看该网站是否存在利用点

    image-20240928144542380

    提示文件共享以及文件上传,根据端口扫描结果,查看以下135端口以及445端口的共享能不能访问

    image-20240928145147642

    使用nxc列出所有共享文件,提示有交互,但是没有权限访问,135端口也是没有权限,这里也是有必要使用enum4linux-ng进行枚举

    image-20240928145539063

    image-20240928145549398

    enum4linux-ng没有枚举出任何有用的信息,回到浏览器中文件上传的功能点

    修改反弹shell中的IP地址为10.10.16.4

    image-20240929093808507

    修改完成后进行上传,然后抓取数据包将认证或者鉴权的内容复制下来,用于目录爆破

    Authorization: Basic YWRtaW46YWRtaW4=
    

    使用feroxbuster进行目录爆破,只爆破php目录,目的为了找到刚刚上传的shell文件,并且要加上Head内容

    feroxbuster -u http://driver.htb/ -x php -H "Authorization: Basic YWRtaW46YWRtaW4=" -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
    

    image-20240929112418392

    未发现有用的目录,可以尝试使用其他的字典进行爆破,这里就不继续了

攻击面分析

内网认证机制(关注SMB):非域环境下,一般是NTLM加密,这套加密体系早期叫Lm Line Manager,安全性非常低,由于它使用简单的哈希,不包含盐值,并将密码分割成七个字符的块,接着分别哈希,这样使得它非常容易被暴力破解。在之后是NTLM V1版本,它比LM有更好的安全性,但仍可被容易的破解,特别是当攻击者能够捕获到网络中的认证流量时。当前广泛使用的版本时V2版本,进一步增强安全性,引入客户端和服务器的挑战响应,以及在哈希过程中使用MD5,这使得它比前两者更难破解,但在某些条件下,特别是使用弱密码时,还是有可能破解。

内网协议:内网中可以用DNS解析主机域名到IP,但内网不一定一直有DNS,即使企业内网也一样。一般内网中没有DNS的时候,解析协议就会降级为netbios或者时LLMN2本地链路多播名称协议,这两种是广播协议,SMB就是使用这种降级协议的。

SMB本身服务消息块:它是一种在网络上用于文件共享、打印服务、还有其他网络通信的应用层协议。SMB协议是计算机能够在局域网内访问文件就是共享。

因为当前的机器探测到不是一个域环境,推测使用的是NTLM。

此时根据内网协议可以知道当内网中没有DNS的时候协议会降级,会广播,有广播那么就可以利用嗅探攻击

工具:Responder

responder可以对接收到的NTLM认证尝试进行中间人攻击,通过像请求者发送伪造的NTLM挑战来获得NTLM响应,这个响应就包含了加密后的用户凭据的散列值,Responder不直接解密这些值,而是采集这些数据然后通过离线破解。

SMB共享scf文件攻击

当前需要产生NTLM的认证,并且要让协议降级到Netbios或者本地链路多播名称解析这种偏低级的协议。相对于DNS协议来说,它就是低级的协议,满足产生认证同时协议降级。

基于当前靶机的web应用场景,上传的文件是保存到文件共享中的,并且445SMB是有服务的,只是没有访问权限。利用scf构造一个可以上传的payload,这个payload里面触发某种访问,而这种访问如果不存在,则协议降级,这里就会有认证。如果这个认证能够让我们捕捉到NTLM的哈希,那么就可以进行破解

  1. 使用responder进行监听

    image-20240929144722254

  2. 构造scf文件,然后上传

    image-20240929145049953

  3. 上传之后会发现responder监听有捕获到认证哈希,可以看到用户名是tony,但是哈希都是变化的,这是因为有随机值,有响应,有时间戳这几个变量存在,将所有捕获到的内容保存到digest文件中,保存之后进行提取

    image-20240929145419737

  4. 因为时间戳和随机值的存在,所以这个哈希不能用来进行哈希传递,否则的话会有很多种哈希对应一个密码。使用nth进行识别一下

    image-20240929145913061

  5. 使用hashcat进行破解,获得凭据liltony

    image-20240929150654000

系统立足点

已经知道了用户名和密码:tony/liltony,再次使用nxc进行尝试

image-20240929151201628

直接使用evil-winrm登录进去看

evil-winrm -i driver.htb -u tony -p liltony

image-20240929151427565

Winpeas枚举

下载winpeas上传到靶机中,在靶机本地执行

image-20240929153443904

image-20240929153958813

执行命令之后将结果输出到log.txt文件中,并将该文件下载到本地进行查看,主要关注标红的地方

cat out.txt | less -R

image-20240929154258345

经过winpeas枚举,以及前端页面的提示,发现存在大量与打印机有关的内容,使用nxc模块查看器看一下目标的spooler是否开启

nxc smb driver.htb -u tony -p liltony -M spooler

image-20240929154728061

服务是开启的,经过查询资料可以知道spooler有一个著名的漏洞:打印噩梦——PrintNightmare,nxc中也有用于检查此漏洞的模块

image-20240929155130895

漏洞存在,并提供了利用工具,使用此工具检测

image-20240929155521405

因为驱动是通过动态链接库实现的利用,所以需要准备一下反弹shell的动态链接库

image-20240929155624943

image-20240929155834682

将此文件上传到目标靶机中

image-20240929155927498

然后回到利用文件的位置,使用工具进行利用,并在攻击机中进行监听

image-20240929160138418

image-20240929160252534

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/809639.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

HACKTHEBOX——Crafty

靶机详情靶机地址:10.10.11.249 kali地址:10.10.16.3 端口服务扫描确认kali与靶机可以ping通使用nmap进行扫描 nmap -sT --min-rate 1000 -p- 10.10.11.249 #以TCP协议,基于当前网络情况,以最低1000的速率进行该IP的全部端口nmap -sT -sC -sV -p 80,25565 10.10.11.249 #详…

字符编码发展史5 — UTF-16和UTF-32

上一篇《字符编码发展史4 — Unicode与UTF-8》我们讲解了Unicode字符集与UTF-8编码。本篇我们将继续讲解字符编码的第三个发展阶段中的UTF-16和UTF-32。 2.3. 第三个阶段 国际化 2.3.2. Unicode的编码方式 2.3.2.2. UTF-16 UTF-16也是一种变长编码,对于一个Unicode字符被编码成…

24.10.07

A 质朴的想法,每一行都放 ryxyryx...,然后因为有 \(40\) 列所以最后一列完全没用,所以把那一行竖着放进去,算一下有 \(2223\) 个。 然后枚举填多少行,如果数量多了就在最后一行选一个位置插入字符(这样后面就没有斜着的贡献了)。还多就从后往前覆盖 y。然后总可以构造出…

ubuntu无法进入系统

ubutun重启卡在initramfs,无法进入系统_initramfs进不了界面-CSDN博客

matplotlib 斜体

matplotlib 斜体在 Matplotlib 中,斜体(Italic)字体可以用于改善图表的可读性或美观度。要设置斜体字体,你可以使用 Matplotlib 的字体属性。这可以通过几种方式实现,比如直接在文本字符串中使用 LaTeX 风格的斜体命令,或者使用字体属性字典来指定斜体。使用 LaTeX 风格的…

水务行业的数字化转型之路:四大挑战与展望

随着数字时代的全面到来,各行各业都在积极探索数字化转型的路径,而作为国民经济命脉之一的水务行业也不例外。水务行业的数字化转型不仅是技术革新的必然趋势,更是提升水资源管理效率、保障水安全、促进生态文明建设的关键举措。然而,在这一转型过程中,我们面临着诸多挑战…

【内核】【转载】记一次Linux Hung Task分析过程

vmcore-dmesg.txt截图如下,崩溃栈里面有我们产品的驱动,现在要分析出是不是我们导致的。系统崩溃是因为触发了hung task检测条件,系统panic了。所谓hung task,就是进程的状态为D状态,即TASK_UNINTERRUPTIBLE状态,短时间的D状态是正常的,长时间就会有问题了,可能系统IO有…

Salesforce AI Specialist篇之 Prompt Builder

本篇参考: https://salesforce.vidyard.com/watch/UUAxcUfHYGAxH3D9wV1RxJ https://help.salesforce.com/s/articleView?id=sf.prompt_builder_about.htm&type=5 https://www.lightningdesignsystem.com/guidelines/conversation-design/overview/ 一. 什么是Prompt Temp…

期末考试复习宝典P19题7:特征图大小的计算(当计算得到小数时)

https://blog.csdn.net/qfqf123456/article/details/112389559#:~:text=本文介绍了如何计算卷 题目:输入图片大小为200乘200,依次经过一层卷积(kernel size 5乘5, padding 1,stride 2),pooling(kernel size 3乘3, padding 0,stride 1),又一层卷积(kernel size 3乘3, …

IDEA如何快速定位到当前打开文件所在的目录

前言 我们在使用IDEA开发时,经常需要知道当前打开的文件是在哪个目录,这个可以在上方看到具体的目录。 但是,当我们需要知道这个目录下有哪些文件或者想要复制当前文件的时候,就需要快速定位当前文件的目录了。 那么,我们应该如何操作呢? 如何操作定位当前打开文件目录 首…

Vulnhub 靶机 THE PLANETS: EARTH

0x01信息收集 1.1、nmap扫描 IP段扫描,确定靶机地址 平扫描 nmap 192.168.1.0/24扫描结果(部分) Nmap scan report for earth.local (192.168.1.129) Host is up (0.0015s latency). Not shown: 983 filtered tcp ports (no-response), 14 filtered tcp ports (admin-prohib…