信息收集：

Tcp協(xié)議：

nmap -p- -sT --min-rate=1000 -Pn 10.129.228.120

Udp協(xié)議：

nmap -p- -sU --min-rate=1000 -Pn 10.129.228.120

nmap -p53,80,88,135,139,389,445,464,636,3268,3269,5985,9389,49667,49674,49693 -sC -sV -Pn -O -sT 10.129.228.120

?發(fā)現(xiàn)flight.htb，加入hosts文件中

DNS協(xié)議：

dig 10.129.228.120 -x 10.129.228.120

?區(qū)域傳輸：

dig 10.129.228.120 axfr flight.htb

可惜沒有什么新的東西

LDAP協(xié)議：

基礎(chǔ)查詢：

ldapsearch -H ldap://flight.htb -x -s base -b '' "(objectClass=*)" "*" +

發(fā)現(xiàn)子域名g0.flight.htb，加入hosts文件中

SMB協(xié)議：

匿名訪問失敗

子域名爆破:

wfuzz -c -f subdomains.txt -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u "http://flight.htb/" -H "Host: FUZZ.flight.htb" --hh 7069

發(fā)現(xiàn)子域名school，加入hosts文件中

訪問web頁面發(fā)現(xiàn)了index.php?view=，可能存在LFI漏洞

?發(fā)現(xiàn)有警告，證明大概率是有漏洞

?發(fā)現(xiàn)可以強制使用網(wǎng)絡(luò)共享，成功截獲hash

利用john暴力破解，獲取了明文密碼

?

利用剛才得到的用戶名與密碼，有SMB訪問權(quán)限

?枚舉出一些用戶，加入用戶字典中

利用之前獲取的密碼與剛獲取的用戶名字典，繼續(xù)爆破，發(fā)現(xiàn)S.Moon也是相同密碼

可惜還是不能登陸

但是有一點不同的是，這個新用戶在Shared目錄有寫入權(quán)限，感覺可能會定時刪除該目錄下的文件，或者上傳shell（老套路了）

?制作desktop.ini文件

?上傳到Shared目錄下

利用responder監(jiān)聽

responder -I tun0 -wPv

?幾秒鐘后，成功獲取c.bum的hash

成功破解c.bum的hash ?

可惜還是無法利用winrm登陸 ?

?再次查看smb的權(quán)限，發(fā)現(xiàn)增加了web目錄下的寫入權(quán)限，大概率可以傳shell

訪問web目錄，果然可以傳shell

?

利用RunasCs切換用戶，并反彈shell，獲取c.bum用戶權(quán)限 ?

發(fā)現(xiàn)內(nèi)部開放了8000端口，但是在之前端口掃描時，并沒有掃描出，這里應(yīng)該存在問題

利用chisel.exe進行端口轉(zhuǎn)發(fā)

?訪問127.0.0.1:8000，再次發(fā)現(xiàn)web頁面

上傳webshell，訪問后，成功反彈shell

檢查后發(fā)現(xiàn)當(dāng)前用戶存在SeCreateTokenPrivilege 權(quán)限，在這種情況下，用戶可以創(chuàng)建一個模擬令牌并向其添加特權(quán)組 SID，可以利用土豆提權(quán)獲取system權(quán)限

?

?加載potato.exe，利用nc，成功反彈system權(quán)限的shell

?

這個靶機主要考驗?zāi)托?#xff0c;它在你上傳shell的目錄，間隔一小段時間就會重置

總結(jié)

以上是生活随笔為你收集整理的HTB打靶日记：Flight的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。