简介:
这台靶机学到了很多新知识,巩固了旧知识吧,靶机不是自己独立完成的,借鉴了大佬的writeup. 靶机的一些关键点和卡点:
- mount可以挂在windows共享目录
- kali下可将VHD文件通过qemu-nbd转换到/dev/nbd0p1设备,通过mount挂载
- Windows系统的账号密码凭证保存在C:/Windows/System32/Config目录下的SYSTEM、SAM文件中, 通过samdump2命令可从两个文件中提取出账号的NTLM凭证
- Windows程序安装后,会在C:/Users/
/AppData/Remoting/目录中保存数据和创建配置文件 - mRemoteNG程序保存的远程登陆凭证保存在C:/Users/Username/AppData/Remoting/mRemoteNG/confCon.xml文件中, 密码通过aes加密,默认加密密码为mR3m
靶机状态: 已完成
文章目录
- 端口扫描
- SMB共享
- mRemoteNG提取密码
一、端口扫描
1 | ➜ nmap sudo nmap -sC -sV -A -oA Bastion -Pn 10.10.10.134 |
发现的服务为ssh、Msrpc、NetBIOS、SMB, 操作系统为Windows Server 2016 Standard 14393, NetBIOS名字是BASTION, 工作组是WORKGROUP. 说明这不是一台HTB域成员主机. SMB用户guest, 验证登级为user.
初步判断大致思路是匿名SMB登陆获取账号密码,通过ssh登陆获取更好权限。
二、SMB共享
VHD 通过smbclient -U guest -H 10.10.10.134
查看共享目录, 发现可读的backups目录, smbclient -U guest //10.10.10.134/backups
连接backups目录,发现存在VHD文件。VHD文件是Virtual Hard Desk, 这是一种公开可用的图像格式规范,允许将磁盘封装在单个文件中,供操作系统用作虚拟磁盘,使用方式与操作物理磁盘相同。
MOUNT 由于共享文件中的VHD文件大小为5G左右,下载网速为300KB左右,所以无法通过下载VHD的方式来进行加载,只能通过挂在windows共享目录到linux中,然后进行VHD挂载; mount -t cifs -o username=guest //10.10.10.134/backups /mnt/Bastion
, 访问/mnt/Bastion即可访问backups共享目录
qemu qemu用于转换文件,kali下(ubuntu系列)的安装命令为apt install qemu-kvm,其他系统未了解;安装之后先加载nbd内核modprobe nbd
,加载vdi文件qemu-nbd -c /dev/nbd0 <vdi_file>
,上面的命令运行之后将在/dev/nbd0中暴露可挂载点/dev/nbd0p1,然后通过mount /dev/nbd0p1 /mnt/
挂载到磁盘上的/mnt目录中
samdump2 挂载VDI文件后, 开始在文件中查找密钥, 这里需要注意的是Windows/System32/config目录下的SYSTEM、SAM文件保存了系统的账号和密钥信息,如果如果系统正在运行则无法获取文件的句柄导致无法获取账号信息。进入C://WIndows/System32/Config目录,用samdump2 SYSTEM SAM -o /tmp/ntlm_hash.txt
提取账号的NTLM哈希值。然后通过hashcat -m 1000 -a 0 pass /tmp/ntlm_hash.txt /usr/share/wordlists/rockyou.txt
破解,拿到L4mpje账号的密码bureaulampje
三、mRemoteNG提取密码
mRemoteNG 拿到L4mpje账号后,用smbmap -u L4mpje -p bureaulampje -H 10.10.10.134
命令查看后发现无新的共享目录,然后用该账号登陆ssh, 进入系统,然后找到user.txt。通过powerup.ps1检查之后未发现可用提权内容,于是开始查找系统中的文件, 在C://Users/
破解之后,找到administrator账号的密码,登陆ssh或smb共享文件后,找到root.txt文件1
2administrator@BASTION C:\Users\Administrator\Desktop>type root.txt
958850b91811676ed6620a9c430e65c8
四、卡点
卡点1: 通过guest访问共享文件后发现vhd文件但不知道如何利用;
卡点2: 通过qemu-nbd加载vhd文件时报错,提示无法获取写文件的锁;通过只读的方式加载即可解决qemu-nbd -rc /dev/nbd0 9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd
卡点3: C:/Windows/System32/config目录下的SYSTEM、SAM中保存的当前机器的账号密码
卡点4: C:/Users/