No.54-HackTheBox-Windowsのバスティオン・チュートリアルの浸透研究

**

HackTheBox-Windowsのバスティオン - チュートリアル

**

ドローンアドレスします。https：//www.hackthebox.eu/home/machines/profile/186
ドローン難易度：簡単（4.5 / 10）
ドローン発売日：2019年5月20日
ドローン説明：
バスティオンIS AN簡単レベルのWindowsのVHD（含むボックスの資格情報はログイン後に抽出することが可能な仮想ハードディスク）の画像、MRemoteNGがインストールされている安全でないどの店舗のパスワードを発見されたソフトウェアを、そして...資格情報を抽出することができますから
、著者：太夫
時間：2020年2月15日
注：これらのすべてのコンピュータに対して、私はプラットフォームによって承認されたが、状況の浸透を可能にします。私は、攻撃者のマシンHTBそれに対する解決策として、カーリーのLinuxを使用します。ここだけの教育目的のために学習するための技術の使用は、技術は他の目的のためにリストされている場合、私は責任を負いかねます。

まず、情報収集

あなたが... IPのドローンが10.10.10.134、Windowsのシステムドローンで見ることができ

ますが、SSHやWindowsサービスを見ることができます。1. 135139445アクティブ...
ここ2最大の攻撃面は、SMBでsshが認証または匿名アクセスを持っています、あなたは、ssh経由で445回の匿名アクセスをマイクロソフト-DSを見ることができます... SMB
3.サーバはまた、そのソースの構成エラーまでの時間であるかもしれない示唆、大幅なクロック・スキューを報告...
4.ビューSMB SMB-セキュリティモードがで見つかりました私たちの要塞マシンのシェア...上のSMB公共検査ファイルを経由して... SMBゲストアクセスのために保持

コマンド：nmap -sT -p 1-65535 -oN fullscan_tcp 10.10.10.134
加えて、私は、TCPスイープのためのすべてのポートが再び...また、両方のための2つのポート5985と47001回のPowerShellのリモートアクセスを、発見しました誰がそのアクセスを獲得する前に、あなたは...いくつかの追加の列挙を必要とする、資格情報を必要とする
上記で得られた情報、SMB ...の下に表示するための445の最初に基づいて

：コマンドsmbclient -L \\10.10.10.134 -N
のバックアップ...共有することができる唯一のアクセス参照

：コマンドsmbclient -N \\\\10.10.10.134\\Backups
のコマンドを：cd "Backup 2019-02-22 124351\"
ダイレクトユーザーがファイルnote.txt「getコマンドを使用し、ファイルnote.txt見つけるアクセスバックアップはローカルにダウンロードし...
システム管理者の警告する：システム管理 全体のバックアップファイル... VPN接続速度が遅いので、私たちは私たちは地元の交通機関でのバックアップファイルを閲覧させてはならない、推奨される
上に、収集した情報を見ることができた後：
1.発見は、バックアップコンピュータは、バックアップフォルダ内にあり、2つがあります...パーティションについて案内するためのVHDファイルバックアップシステム、Cのために1：ボリューム...
2.彼らはファイルストレージシステムチャックIPアドレスを入力することで、これらのデバイスにアクセスできないため、SMBからファイルを削除し、それをマウントする必要があります...たとえば、Windowsでは、あなたは私たちのコンピュータ上のディスクイメージとしてこのデバイスをインストールする必要があります...
アカウントへ3.取ってシステム管理者によって発行された警告、あなたはこれらのファイルには長い時間がかかることがあり得る、2つのVHDファイルをダウンロードする必要があり、長い時間がかかり、それは大...推定されている

コマンド：mount -t cifs //10.10.10.134/Backups dayusmb
私は、ローカルディレクトリのSMBへのバックアップをマウントするマウントを使用...ここで私は、CIFSを使用し、smbfsの...も使用することができます

コマンド：du -hs *
海外サーバーの無人偵察機が、私は非常に遅い訪れるので、本当に大きなファイルを...

マウンティング

方法1：

前面通过mount挂在到dayusmb目录下后，可以读取到VHD…

利用vhdimount将文件挂载到/mnt /dayutest（这里文件是从前面mount挂在到dayusmb里面提出来的，不然就得自行下载5G文件）
从输出中可以看到，在/mnt/dayutest/中生成了一个图像文件vhdi1，由于需要挂载该文​​件，以便可以访问文件系统，所以在映像文件上运行fdisk -l查看更多的信息…
fdisk发现了文件系统的起点和扇区大小：128*512=65536…可以分割出分区并将其安装…

命令：mount -o ro,noload,offset=65536 vhdi1 /mnt/dayujust/
利用mount安装此分区的偏移量的起点和扇区大小后，发现搞错了，安装了c3的VHD…（这里搞错了，但是我还是写出来了，记录错误）
重新挂载下C4的VHD…

重新对C4操作了一遍…就不解释了…
这里可以看到14.9G的文件值…起点和扇区大小还是和C3一样…直接mount即可…

在windows中的config目录下可以看到SAM文件…里面肯定含有哈希值…

命令：pwdump SYSTEM SAM
利用pwdump或者samdump2可以读取windows登陆系统SAM文件里的hash值…
发现三个用户，1000，直接利用L4mpje用户即可…

方法2：

利用guestmount工具将文件挂载到/mnt/dayutest4…

命令：guestmount -a "9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd" --ro /mnt/dayutest4 -i -v （需要知道字母什么意思的去-help）
已经成功挂载过去…
利用pwdump或者samdump2读取windows登陆系统SAM文件里的hash值…和方法1一样…
guestmount链接 （学习）

方法3：

命令：modprobe nbd 如果利用qumu，必须得在本地加载nbd模块…

命令：qemu-nbd -r -c /dev/nbd0 "dayusmb/WindowsImageBackup/L4mpje-PC/Backup 2019-02-22 124351/9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd"
利用qemu-nbd工具，qemu-nbd是qemu里面其中一个用户态工具，依赖于 nbd.ko
qemu-nbd可以将C4.VHD挂载到本地…qemu-nbd -h查看命令介绍，使用-r和-c即可…
然后mount “挂在的目录” “本地目录”
最后利用pwdump或者samdump2读取SAM文件哈希即可…

方法4：

https://www.7-zip.org/download.html
利用7-zip软件将文件拷出来挂在…

方法非常多，只是介绍了几种…方法1中还可以用rsync，最好用的还是方法1和2…

解码HTML哈希值：26112010952d963c8dc4217daec986d9

推荐地址：
https://crackstation.net/
https://hashes.org/search.php

输出：26112010952d963c8dc4217daec986d9:bureaulampje
用户名密码：l4mpje：bureaulampje

二、提权

SSH登陆l4mpje…

命令：ssh [email protected]
成功登陆…

成功查看到user.txt…

利用mremoteng_decrypt.py脚本可以查找管理员帐户的密码 链接

打开confCons.xml来检索加密的密码发现存在：
aEWNFV5uGcjUHF0uS17QTdT9kVqtKCPeoC0Nw5dmaPFjNQ2kt/zO5xDqE4HdVmHAowVRdC7emf7lWWA10dQKiw==
yhgmiu5bbuamU3qMUKc/uYDdmbMrJZ/JvR1kYe4Bhiu8bXybLxVnO0U9fKRylI7NcB9QuRsZVvla8esB
这是XML的BASE64值，需要解密…

命令：scp [email protected]:/Users/L4mpje/AppData/Roaming/mRemoteNG/confCons.xml .
或者下载到本地自行玩…
有很多种方法可以解析xml的base64值…（链接）

我这里在网上搜索之后…在谷歌发现github mremoteng_decrypt.py可以利用…非常便捷

我利用python3执行 mremoteng_decrypt.py脚本发现不存在Cryptodome模块…以为没安装pycrypto，发现装在了python2.7上了…
（先卸载crypto和pycrypto即sudo pip uninstall crypto和 sudo pip uninstall pycrypto，在安装crypto即sudo pip install pycrypto—另外一种方法）
実行Pythonの実行が入手：
パスワード：bureaulampje -これはL4のユーザーのパスワードです...
パスワード：thXLHM96BeKL0ER2 -adminidsratorユーザーのパスワード...

パスワード管理者の使用の成功は、root.txtを取得します...

非常に良い...ドローンは、たくさんのことを学びました...

我々はこのようにシンプルなドローンを完了し、ビューUSER.TXTとroot.txtに成功したroot権限されているので、私はあなたがこの機械のように願って、学ぶための演習と一緒に、後半より挑戦的なマシンよりもあるだろう大に注力することを続けてください。

あなたはウェルカムメッセージの他の方法を持っている場合。そこに間違った場所ならば、あなたは私に言う必要があります。あなたが書き込み良いにこのブログを見つけた場合は、周りの人々を共有することを歓迎します。