HTB | “Heist”靶机***详细思路

 guoyouy@126.com FreeBuf 

今天咱们来看一下hackthebox里的一个靶机“Heist”，直接开始***。

1、信息搜集

先打开网站看看。是一个登录框，使用弱口令和注入都无果。在网页中发现了 login as guest页面。

留言中Hazard留言说思科路由器存在问题，而且附上了配置文件。我发现配置文件中含有三个加密的密码。应该是思科路由器专用的加密方式，因此我去搜索引擎上试着找相应的破解方式，发现了一个在线破解“password 7”的网站

http://www.ifm.net.nz/cookbooks/passwordcracker.html

password 5我发现没有合适的在线解密网站，因此使用john神器进行爆破。

john –wordlist=rockyou.txt pass.txt，破解成功。

所以目前已知的用户名密码以下表：

密码有了，可是目前不知道他们是登录什么的。

接下来扫描一下开放端口

nmap -p- 10.10.10.149 -T5

深刻搜集端口信息和操做系统信息

Nmap -sC -sV -p 80,135,445,5985,49669 10.10.10.149

从IIS版本号来看应该是windows10 或者server 2016的操做系统。

2、SMB爆破

咱们发现有445端口开放，因此咱们试一下smb登录爆破，字典就是刚才咱们拿到的那些用户名和密码。这里使用msf中的smb_login 模块进行。成功发现用户名hazard，密码 stealth1agent。

而后通枚举靶机还存在哪些用户。这里我使用到了impacket的lookupsid工具进行暴力破解。

http://www.manongjc.com/article/97872.html

如今看下全部的用户和已知的密码：

再回头看一下可利用的端口，其中发现5985端口，它是Windows远程管理协议。

咱们可使用msf下的winrm_login模块进行爆破用户名和密码，字典一样是刚才的已知用户名和密码。

咱们发现用户名：Chase 密码：Q4)sJu\8qz*A3?d能够登录。

3、获取靶机Shell

接下来拿shell

https://alionder.net/winrm-shell/

使用上面连接中的POC，直接拿到powershell 并读取user.txt

下一步是拿admin的shell。

PS后发现有firefox正在运行，可能管理员正在用浏览器进行操做。想办法拿到进程日志。

接下来使用ProcDump.exe提取filefox的进程文件，其中firefox的pid为6804。

首先上传ProcDump.exe,咱们能够从微软官网获得下载连接https://docs.microsoft.com/en-us/sysinternals/downloads/procdump

而后将procdump.exe上传至靶机，这里我使用了powershell 的Invoke-WebRequest从本机进行上传，前提是打开本机http服务，经过80端口进行传输。

使用./procdump.exe -mp 6804 导出对应的进程文件。

而后进行字符串查找，

get-content firefox.exe_191209_133946.dmp | findstr “password”

发现了管理员用户名和密码。

使用administrator帐户拿到shell。

完成靶机***。

其中使用evil-winrm.rb也能够拿shell，而且上传下载操做更方便。

https://github.com/Hackplayers/evil-winrm

总结：

1.信息搜集

2.寻找80端口信息泄漏的密码

3.经过已知的用户枚举可能的用户名密码。

4.寻找主机的其余用户

5.5985端口的***以及拿shell

6.找管理员操做进程，提取进程文件，拿到管理员密码，并拿shell。