HackTheBox - Nest

-


一如既往的扫描

nmap -v -p1-65535 -Pn 10.10.10.178

 445 open microsoft-ds 信息的主要来源
 4386 open unknown 

通过枚举,发现可以匿名访问共享。
kali@kali:~$ smbclient -L 10.10.10.178
Enter WORKGROUP\kali's password: 

        Sharename       Type      Comment
        ---------       ----      -------
        ADMIN$          Disk      Remote Admin
        C$              Disk      Default share
        Data            Disk      
        IPC$            IPC       Remote IPC
        Secure$         Disk      
        Users           Disk      
SMB1 disabled -- no workgroup available

《匿名访问》发现以下两个文件

 
\\10.10.10.178\data\Shared\Maintenance\Maintenance Alerts.txt
There is currently no scheduled maintenance work

\\10.10.10.178\data\Shared\Templates\HR\Welcome Email.txt
We would like to extend a warm welcome to our newest member of staff, <FIRSTNAME> <SURNAME>

You will find your home folder in the following location: 
\\HTB-NEST\Users\<USERNAME>

If you have any issues accessing specific services or workstations, please inform the 
IT department and use the credentials below until all systems have been set up for you.

Username: TempUser
Password: welcome2019


Thank you
HR


如此简单就获取到了,TempUser。

此时双路进发
1、然后继续用 TempUser 枚举。

很幸运用TempUser枚举的时候,枚举到一名用户


2、用已枚举到的关键字做字典,猜测其他用户。



果然在找到了其它的两个用户密码,总的合计,一共4个用户密码了。


 TempUser   welcome2019
 c.smith user.txt fTEzAfYDoz1YzkqhQkH6GQFYKp1XY5hm7bjOP86yYxE= xRxRxPANCAK3SxRxRx
 L.Frost   Thereiscurrentlynoscheduledmaintenancework
 R.Thompson   Thereiscurrentlynoscheduledmaintenancework


然后用这四个用户继续枚举 445端口。这倒让我想起了刚自学IPC$入侵的那会,哈哈。


以下是发现的信息
net use \\10.10.10.178\ipc$ "welcome2019" /user:"TempUser"
net use \\10.10.10.178\ipc$ "xRxRxPANCAK3SxRxRx" /user:"c.smith"

C:\Users\tianq\Desktop>net use \\10.10.10.178\ipc$ "xRxRxPANCAK3SxRxRx" /user:"c.smith"
命令成功完成。

\\10.10.10.178\users\C.Smith
user.txt
HQK Reporting
    AD Integration Module
        HqkLdap.exe
    Debug Mode Password.txt(很可惜里面是空文件)
    HQK_Config_Backup.xml  
\\10.10.10.178\Users\C.Smith

net use \\10.10.10.178\users "Thereiscurrentlynoscheduledmaintenancework" /user:"R.Thompson"
无法看到任何共享文件

net use \\10.10.10.178\users "Thereiscurrentlynoscheduledmaintenancework" /user:"L.Frost"
无法看到任何共享文件


很明显,主要就是 c.smith 用户的信息了。

普通的文件,查看后,并没发现什么一样,HqkLdap.exe 检测后发现是 donet开发,随后进行逆向工厂。



发现了点信息,解密后 administrator 密码就出来了。

值得一提的是,samba 文件夹里放的是 快捷方式,需要配置 hosts 才能正常打开。




整个侵入过程不到1个小时,算是很低级了。难怪才给 20 Point。


评论

发表评论