梦中的一次HTB

这几天又做梦了梦到了…

当前机子的80端口是一个Joomla，并且发现了版本号为4.2.7，存在Joomla未授权访问漏洞(CVE-2023-23752)

1	`/api/index.php/v1/config/application?public=true`

泄露用户名密码，并且在前期内网信息收集的过程中可知，22端口没有开放不过开放了445,所以从smb入手

发现用户名密码不正确，猜测可能是用户名不正确，尝试使用AS-REP攻击，使用kerbrute对目标域名进行用户名枚举

逐个尝试，发现一个用户能够成功连接，并且在查看共享文件夹内容时，发现在SOC Analysis文件夹中有一个pcap文件，get下来

分析这个流量包，不管是tcp或者是udp流，都没有发现异常流量，但是发现了存在Kerberos流量

不过在第二个数据包中，还是发现了点东西，并且发现了一个用户

首先在cipher那里那里可以看到hash的类型，是一个是krb类型，流量包中的加密模式为18，并且为SHA-256，能够破解Kerberos的方式为7500，但是7500模式中的加密模式为23而并非18，而19900模式是能够破解Kerberos，并且加密模式正好是18，所以我们用hashcat进行破解，首先构造密文，Krb5pa标识kerberos5预身份验证，18标识kerberos加密类型18(AES-256)，后面追加用户名和域名，均用$符合隔开

1	`$krb5pa$18$用户名$域名$hash`

保存到一个txt中，再用hashcat进行破解，命令如下

1	`hashcat -m 19900 hash.txt 字典.txt`

破解出来之后，进行登录Joomla，查找功能点，发现在system->site Templates可以修改主页代码，修改为反弹shell代码

拿shell

为了方便后边的操作，上线msf，拿到一个会话之后，随即迁移进程，并使用runas模块提权到刚才流量包中发现的账户

成功拿到用户权限，查看端口开放情况

发现开放了8083端口，通过端口转发将其流量代理出来

代理出来之后发现了文件上传点，随便上传了几个文件进行探测，发现对文件类型有限制，其中可以上传odt文件

这里我们利用odt文件的漏洞（CVE-2023-2255），首先生成一个exe马，然后制作一个odt恶意文件，让这个odt去执行cmd命令从而执行exe木马，msf监听接收shell

获取到新的shell，此时用户已经变为域中的其他用户，开始进行横向移动，首先查看当前还有什么用户

用mimikatz查看凭据信息

列出了当前用户的windows凭据保管库内容和Windows Credentials凭据，然后逐一寻找受保护的凭据内容

dir /a:h C:\Users\PPotts\AppData\Local\Microsoft\Credentials\
dir /a:h C:\Users\PPotts\AppData\Roaming\Microsoft\Credentials\
Get-ChildItem -Hidden C:\Users\PPotts\AppData\Local\Microsoft\Credentials\
Get-ChildItem -Hidden C:\Users\PPotts\AppData\Roaming\Microsoft\Credentials\

可以看到有三个不同cred，回到mimikatz使用dpapi::cred模块来解密存储在Windows数据保护API（DPAPI）下的凭据，尝试解密位于当前用户的Credentials目录下的一个加密凭据文件。以便查找数据

一般情况下，用于加密用户RSA密钥的DPAPI密钥存储在%APPDATA%\Microsoft\Protect\ {SID}目录下，其中{SID}是该用户的，DPAPI 密钥与保护用户私钥的主密钥存储在同一文件中，通常是64字节的随机数据，列出当前用户AppData\Roaming\Microsoft\Protect\下的所有内容（此处为该用户的sid）