渗透实战 | HTB Bastion靶场入门必备:从SMB到MRemoteNG的提权之路

介绍

Bastion 是一个简单级 Windows 盒子，内置一个 VHD（虚拟硬盘）镜像，可以提取凭证。登录后，发现安装了MRemoteNG软件，该软件不安全存储密码，可以提取凭证。

url:https://app.hackthebox.com/machines/Bastion

靶场信息

目标：Bastion

ip：10.129.136.29

本机ip：10.10.16.5

操作系统：Windows

攻击路径：

过程

一.信息收集

1.1测试一下连通性

1.2端口扫描

1.2.1接着使用Rustscan进行端口扫描

RustScan 成功地快速识别出目标主机上共有 13 个开放的 TCP 端口。这些端口包括：

• 常见服务端口：22 (SSH), 135 (MSRPC), 139 (NetBIOS), 445 (SMB), 5985 (WinRM)
• 高位动态端口：47001, 以及 49664 到 49670 的一系列端口。这些端口通常与 Windows 系统的后台服务（如 RPC 动态端口分配）有关。

1.2.2使用nmap进行扫描

• 22/tcp (SSH): 运行的是OpenSSH for Windows 7.9。这在 Windows 服务器上越来越常见，但版本 7.9 可能已较旧，存在潜在漏洞风险。扫描还获取了其 SSH 主机密钥指纹。
• 445/tcp (SMB): 确认服务为Windows Server 2016 Standard 14393 microsoft-ds。这是最关键的发现在之一，直接指明了操作系统和版本。
• 5985/tcp (HTTP): 服务识别为Microsoft HTTPAPI httpd 2.0，这是 Windows 远程管理服务使用的 HTTP 接口。
• 其他端口如 135、139 也都被正确识别为对应的 Windows RPC 和 NetBIOS 服务。

这里发现smb和ssh都开启了，尝试利用smb，检查一下是否在SMB上存在使用null绑定的开放共享。

1.3smbclient

发现Backups具有读权限将其下载到kali中进行查看

发现的共享：

• ADMIN$- 远程管理共享
• Backups- 默认共享（可能是备份目录）
• C$- 系统盘根目录共享
• IPC$- 进程间通信共享

成功访问，并检查其中内容。

系统管理员:请不要将整个备份文件本地传输，到分公司办公室的VPN速度太慢。

整个文件备份应该是指WindowsImageBackup这个文件夹

有两个vhd文件，查了一下是微软的虚拟机文件格式，相当于虚拟机的硬盘。

二.敏感文件提取

2.1samdump2拿到sam哈希

这里可以使用的是windows来连接靶机

还可以使用把远程文件挂载到本地

挂载成功查看文件内容

安装vhd挂载所需程序

sudo apt-get install libguestfs-tools

检查挂载磁盘

在kali上挂载远程分享文件夹下的vhd文件

第一个没有找到

现在进入/root/htb/Bastion/windows就相当于进入了靶机的备份的windows系统

进入Windows/System32/config目录下使用samdump2 SYSTEM SAM 命令查看是否存在散列哈希。

成功拿到sam哈希

L4mpje:1000:aad3b435b51404eeaad3b435b51404ee:26112010952d963c8dc4217daec986d9:::

2.2解密获取凭证

2.2.1使用john破解

将内容保存到hash.txt文件中

2.2.2使用在线破解

https://crackstation.net/

三.提权

3.1进行远程连接

根据获取到的账号与密码使用ssh进行远程连接

成功连接，搜寻一些相关信息

成功拿到L4mpje用户中的flag：f5ffa369449e5541b739907c1fcb410e

3.2提权

根据题目信息提示，说有MRemoteNG软件，该软件不安全存储密码，可以提取凭证。所以就想到，查看所有目录，存在AppData，找AppData目录里看看有什么。

在Users\L4mpje\AppData\Roaming\mRemoteNG目录下发现备份文件，这里可以直接访问，也可以使用scp命令把文件从靶机下载到kali

这里面包含一些敏感信息

定义了两个远程桌面连接：

1. DC（可能指域控制器）

• 地址（Hostname）:127.0.0.1(本地主机)
• 协议（Protocol）: RDP
• 端口（Port）:3389(RDP默认端口)
• 用户名（Username）:Administrator
• 密码（Password）: 已加密（显示为密文）

2. L4mpje-PC（一台个人电脑）

• 地址（Hostname）:192.168.1.75
• 协议（Protocol）: RDP
• 端口（Port）:3389
• 用户名（Username）:L4mpje
• 密码（Password）: 已加密（显示为密文）

3.2.1使用mRemoteNG进行解密

链接：https://github.com/kmahyyg/mremoteng-decrypt

成功获取密码

使用ssh进行远程登录获取root权限

成功登录，找到Administrator用户的flag:876dbb2e08abf1908673933b2afc80c8

3.2.2使用mRemoteNG软件

mRemoteNG 是一款开源免费、标签式、多协议的远程连接管理器，把 RDP、VNC、SSH、Telnet 等常见协议全部塞进一个界面，像浏览器一样用标签页切换会话，既能保存密码，也能分组管理，被誉为"Windows平台运维人员的瑞士军刀"。

然后执行工具，成功拿到administrator用户的密码，这样再次远程连接获取flag。

再次强调，能力越大，责任越大。希望我们都能用技术去守护，而不是破坏。记得给小编点个“赞”留个关注！！！