胖客户端Pentest实验室设置:DVTA(第2部分)

在上一篇文章中,我们讨论了胖客户端的实验室设置:DVTA

您可以通过访问这里简单地演练: – 胖客户端Pentest实验室设置:DVTA

在本文中,我们将讨论如何配置DVTA应用程序以连接到服务器 为此,我将在整个设置中使用一个窗口10个实例。这意味着DVTA客户端和SQL Server都将在同一台计算机上运行。 您可以在Different Window 10实例上配置DVTA客户端和SQL Server。

表中的内容

  • 先决条件
  • 下载链接& Credentials
  • 下载并安装DVTA应用程序
  • 撤消和修改原始DVTA应用程序
  • 配置&登录到修改后的DVTA应用程序

先决条件

  • 精通C#(C Sharp)编程知识。
  • 一点逆向工程知识。

下载链接& Credentials

DVTA应用程序:– //mega.nz/file/rPJQ0LTL#CuhQ9HBeEIKHa67jbITFQbt49FZalugWlRe5A33O6y4

DnSpy应用程序:– //github.com/dnSpy/dnSpy/releases

数据库用户和密码:–

证书:

下载并安装DVTA应用程序

您可以使用此链接直接下载DVTA应用程序

下载完成后,将其解压缩到新im体育吧夹中,如下图所示。

好了,这是我们为测试而获得的发布im体育吧。如果您看到Releaseim体育吧夹中有几个im体育吧,并且这里的主应用程序是带有红色图标的im体育吧 “ DVTA.exe”

因此,我们双击DVTA.exe并运行它。

完成后,您应该会看到一个类似这样的提示窗口。如果您注意到提示窗口的底部,我们可以在这里配置服务器。

原始DVTA应用程序没有此功能,并且IP地址是硬编码的。这样做的问题是我们需要有一台具有与应用程序中硬编码完全相同的IP的服务器。为此,我们需要编译源代码以某种方式修改应用程序,以便它指向或重定向到我们的服务器。

现在,在配置服务器之前,我们的主要任务是启用 “配置服务器” 按钮,以便它可以与我们的服务器对话。

这需要一点逆转知识……。这会很有趣.

撤消和修改原始DVTA应用程序

现在,让我们看看如何启用 “配置服务器按钮”.

在启用此按钮之前,让我们先思考一下在进行渗透测试时,现实世界中客户端应用程序中遇到这种禁用按钮的情况。在某些情况下,用户登录后会禁用某些菜单。例如,他是制造商,并且他没有检查器菜单,因此某些开发人员在客户端中禁用了这些菜单,假定用户无法启用它们,并且可以在C sharp.net应用程序中轻松启用这些禁用的菜单。

现在,让我们看看如何做到这一点。首先,如果我们做错了什么或弄乱了代码,只需简单地提取DVTA Releaseim体育吧夹的副本,这样,我们就可以从头开始,而无需再次下载。要启用“配置服务器”按钮,我们将使用一个名为dnSpy的工具。您可以通过以下链接直接下载:– //github.com/dnSpy/dnSpy/releases

从发行版部分下载最新版本。

下载完成后,将其解压缩到新im体育吧夹中。

提取完成后,您应该看到dnSpy的两个版本,一个是32位,另一个是64位。我们将使用32位版本,因为我们的目标应用程序是32位。

因此,如果您在下图中看到一个具有dnSpy-x86的版本是32位版本,而另一个仅表示dnSpy的版本是64位版本。

因此,不会浪费时间快速开放 “ dnSpy-x86” 通过双击它并简单地运行它

dnSpy应用程序启动时,通过导航到打开DVTA应用程序 im体育吧> open

并转到DVTA应用程序的Releaseim体育吧夹,然后选择DVTA.exe。 因此,这是我们将要修改的主要应用程序。

现在,我们的主要任务是找出已禁用按钮的确切位置,然后以将要启用的方式修补二进制im体育吧

在左侧菜单上,单击DVTA并展开DVTA.exe。展开后,选择DVTA。现在,如果您看到了,在DVTA应用程序中似乎有几个地方。基本上,这些是源代码中的C锋利im体育吧。如果您在打开DVTA应用程序时注意到以上内容,它将打开 DVTA登录页面 在该页面的底部有 “配置服务器” 按钮。因此,这就是我们感兴趣的。

现在,无需浪费时间,请单击登录,它将为我们自动开始反编译源代码。

现在,这看起来非常有趣,我们可以很容易地了解此应用程序在此处执行操作的全部源代码。向下滚动到源代码时,您会发现有一种情况正在寻找一种称为 “是配置的服务器” 当您单击它时,它将看到定义在哪里,当您看到定义时,它将始终返回 “假” 如果返回值True,会发生什么情况。

让我们来看看…

这将显示特定的消息 “ MessageBox.Show(“此应用程序仅在配置服务器后才可用”) 这意味着该块永远不会执行,因为它总是 “假”。所以这就是“this.configserver.Enabled = False;始终是执行的部分,如右箭头突出显示。在下图中

如果您注意到所有的源代码都在C语言中。

让我们看一下此源代码的IL版本。 IL是一种中间语言。这类似于C编程世界中的旧汇编语言。您可以通过导航到开始图标附近的下拉框,将源代码转换为IL。如果您基本上比较C尖锐代码或IL代码,它们在做相同的事情。

正如我们之前看到的,“配置服务器”是一个按钮,您可以在此处轻松找到。这是一个按钮 “类[system.windows.Forms] System.Windows.Forms.Button“ 在此特定行之后,似乎有一个呼叫“System.Windows.Forms.Control”并调用set Enabled方法,并且此Set_Enabled方法采用布尔值,该布尔值可以为true或false。如果您看到一个似乎是ldc.i4.0的值,然后将鼠标悬停在Set_Enabled(bool)上,它将整数值0作为int 32推送到评估堆栈上,这可能就是原因该按钮始终处于禁用状态,因为此值作为参数被压入堆栈,并且set enable始终设置为false。

现在,右键单击ldc.i4.0的值,然后 “编辑IL指令” 如下所示

现在,它将打开另一个提示,并右键单击值ldc.14.0,然后进一步选择ldc.i4.1而不是0并按OK,如下所示

现在,通过导航到 im体育吧> Save Module

现在,将此im体育吧保存在原始DVTA所在的位置,以便可以替换原始DVTA.exe,如下所示

现在,我们可以转到同一目录关闭dnSpy应用程序,并打开修改后的应用程序DVTA.exe。

配置&登录到修改后的DVTA应用程序

欢呼...您可以看到“配置服务器按钮已启用

因此,我们已经准备好配置服务器。如前所述,我们将使用与数据库相同的服务器。

所以,让我们输入 “ 127.0.0.1” 作为我们的服务器,然后单击 “配置服务器”。

如您所见,我们的服务器已成功配置。

现在,为了确保一切正常,请返回到DVTA的releaseim体育吧夹目录,然后双击DVTA应用程序下面的DVTA.exe XML配置im体育吧,如下所示

这基本上是一个配置im体育吧。双击并打开配置im体育吧。

当您看到应用程序设置时,您会看到 数据库服务器为“ 127.0.0.1/SQLExpress” 和“FTP服务器也配置为127.0.0.1”。

太棒了…现在我们对配置很满意。

现在打开修改后的DVTA应用程序并以用户身份登录 “ 维杰” 是我们之前在SQL Server安装程序上创建的。

很好,我们可以看到我们已经成功登录到该应用程序

我们还要验证另一个用户(例如admin),并检查admin具有哪些权限

太好了,我们可以看到一切正常,并且已成功以管理员身份登录。

恭喜你

现在,如果您已经做完了,那么就可以使用“该死的易受攻击的胖客户端应用程序”设置进行设置。

在下一部分中,我们将针对各种问题系统地测试该应用程序。

最重要的一件事 “您可以从此处将所有这些步骤用作您的实际胖客户端渗透测试参与的清单”。

作者– Vijay是Hacking 文章的认证道德黑客,技术作家和渗透测试人员。技术和小工具怪胎。联系 这里

ServMon HacktheBox演练

今天,我们将解决另一个名为“ ServMon”的“黑客挑战”挑战赛,该计算机属于已退休实验室的一部分,因此您可以使用HTB VPN连接到该计算机,然后开始解决CTF。这个实验室很简单。如果具有渗透测试的基本知识,那么解决该实验室并不困难。让我们开始学习如何破解它。

级别:简单

任务:在受害者的计算机上找到user.txt和root.txtim体育吧。

渗透测试方法

侦察

  • 地图

枚举

  • 以匿名方式连接到FTP服务
  • 浏览HTTP服务

开发

  • 利用目录遍历
  • 使用Hydra的Bruteforce
  • SSH协议登录
  • 枚举用户标志

特权提升

  • 滥用NSClient
  • 紧贴root.txt

演练

侦察

由于这些实验室在线,因此它们具有静态IP。 ServMon的IP为10.129.29.110,所以我们从nmap端口枚举开始。

从下面的给定图像中,我们可以观察到我们找到了端口 21、22、80、135、139、445、5666、6699、8443 是开放的。这意味着ftp,ssh,MSRP,smb等服务正在受害者的网络中运行。

枚举

从上面的nmap扫描可以看出ftp允许匿名服务。因此,让我们通过匿名连接来枚举FTP服务。我们有一个名为Users的目录。在该目录中,我们找到了两个名为 纳丁内森。现在我们进入名为Nadine的目录中,我们有一个扩展名为txt的im体育吧 机密.txt。下载此txtim体育吧后,我们进入了名为Nathan的目录,并找到了另一个扩展名为Notes的im体育吧do.txt,然后我们在终端中快速下载了该im体育吧。

将两个im体育吧都下载到我们的终端后,我们退出了FTP,并决定查看这些im体育吧。 机密.txt告诉我们Nathan桌面上已经保留了密码,并且do.txtim体育吧的注释要求我们完成剩余的任务,并告诉我们有关NVMS,NSClient和SharePoint的三种服务。我们知道NVMS位于端口80之后,而NSClient位于端口8443之后。

有关更多详细信息,我们将需要针对主机启动枚举。因此,我们将导航到Web浏览器以探索HTTP服务。打开网页后,我们将获得一个名为nvms-1000的Web应用程序的主页。

开发

由于我们无法在初始枚举中获得证书。我们将必须找到一种不同的方法来访问NVMS-1000的授权登录面板。因此,我们使用searchsploit来搜索任何可用的漏洞利用。

这给了我们目录遍历漏洞。现在,使用searchsploit命令的-m参数下载此攻击脚本。

现在,让我们阅读漏洞利用的内容,并了解漏洞利用的用法。

我们看到该漏洞告诉我们,这是TVT网络监视管理软件3.4.1版中存在的未经身份验证的目录遍历漏洞。 NVMS默认在端口80上进行监听。由于我们已经知道Nathan桌面上存在password.txt,因此我们现在尝试使用curl及其选项-path-as-is来提取Password.txt的内容,以便路径URL中提供的内容不会删除任何DOT段。

我们有两个用户Nadine和Nathan,现在我们的下一个工作是在hydra的帮助下为SSH登录暴力找到用户的密码。猜测密码的最佳方法是使用我们在Desktop 内森上找到的密码im体育吧。

我们有一个用户名和密码,因此我们尝试访问目标系统上的SSH,因此我们能够成功登录。

登录后,我们遍历用户的桌面以读取user.txt标志。

特权提升

现在是时候升级实验室的权限了。现在,如果我们返回在ftp登录过程中发现的Notesim体育吧,我们就会知道有NSClient可以使用该用户。接下来,我们枚举用户目录以查看Program 档案目录。

C:\ 程序im体育吧目录

输入Program 档案后,我们找到了另一个有趣的目录NSClient,在ftp登录期间发现的Notesim体育吧中提到了该目录。现在让’s深入NSClient目录。

在这里,我们发现了一个扩展名为.client的.iniim体育吧,名称为nsclient.ini,它似乎包含某种基于文本的内容,这些内容对于我们移动很有用。它也可能包含某种用于Admin的密码,只是一个猜测。

是的,我们找到了密码哈希,下面对此进行了确认。

现在,如果我们回想起Nathan的do.txt注释,它谈到了锁定NSClient,因此在上面的屏幕快照中可以确认,该状态仅允许访问localhost(127.0.0.1)。 NSClient正在端口8443上工作,该端口已在localhost(127.0.0.1)上打开。

由于我们知道ssh已启用,因此我们可以执行Local ssh隧道,这将使我们的工作更加轻松。现在我们再次切换到Kali Linux进行本地隧道化。

执行以下命令将端口转发到本地计算机。

这将在我们的本地主机上打开端口8443,我们通过在浏览器中打开Web应用程序进行了确认。

因此,我使用在程序im体育吧中找到的nsclinet.iniim体育吧中的枚举详细信息登录。

现在,我们的下一个工作是为Windows下载netcat 64位。

现在,我们的下一个工作是创建一个批处理im体育吧,该im体育吧将启动 网络猫。我们将通过一个名为.bat的im体育吧进行利用 利用.bat.

现在,通过使用以下命令在目标PC上共享我们的exploit.batim体育吧来启动python服务器。

下一个任务是将我们的exploit.bat上传到目标实验室的Tempim体育吧夹中,我们将通过PowerShell进行此操作。我们的python服务器已经在后台运行。现在要上传目标计算机的.batim体育吧,请执行以下命令:

从上面的屏幕截图中,可以确认exploit.batim体育吧已安全到达目标计算机。

下一步是使用netcat shell作为管理员获得shell,因此我们的下一个工作是将netcat上传到目标计算机的Tempim体育吧夹中。为此,请执行以下命令:

我们已经成功上传了我们的netcat,上面的屏幕截图对此进行了确认。接下来,我们将在设置中添加一个新部分,路径类似于/ settings / external scripts / scripts,现在将密钥设置为shell,这将为我们的exploit.bat所在的路径赋值。

现在,我们通过在调度程序中添加新的部分来重复该过程,路径如下所示 / settings / scheduler。现在将键设置为shell并将value设置为 间隔= 1m 并添加更改。

保存所有更改后,我们将重新加载Web应用程序。

让我们等待脚本执行。 Boom,我们以管理员身份进入。

现在,我们在“ C:\ 程序 档案 \ NSClient ++”中枚举系统>”,我们找到了一个名为“ 根.txt”的im体育吧。我们看一下im体育吧的内容并找到最终标志。

作者:Japneet Kaur Gandhi 是一名技术作家,研究员和渗透测试仪。 Contact 这里

芒果HackTheBox演练

今天我们’重新解决另一个名为boot2root的挑战“芒果“. It’可在HackTheBox进行渗透测试。这个实验室的水平很简单,但是具有足够的基础知识来打破实验室的要求,如果我们注意检查过程中发现的所有细节,它将不会很复杂。进行此实验的功劳归功于 MrR3boot。让’入门并学习如何成功将其分解。

水平:

由于这些实验室可在 哈克盒子 网站。

渗透测试方法

侦察

  • 地图

枚举

  • 打p套房
  • Lse.sh

利用

  • 使用Python脚本进行NoSQL注入

特权提升

  • 滥用SUID“ js”二进制im体育吧
  • 夺旗

演练

侦察

我们使用所有端口,版本和脚本执行nmap工具。

我们看到443端口的Web服务,它具有SSL证书,我们列举了一个 子域.

我们在“/ etc / hosts”:

枚举

我们访问了该Web资源,并且看到我们没有访问权限。

我们访问 找到子域,我们有一个必须违反的身份验证面板。

我们用 打p 用于在网站上测试不同的有效负载SQL注入。我们发现该网站容易受到 NoSQL注入.

我们使用有效负载访问了该网站,并发现我们设法 旁路 认证系统。

利用

我们使用以下脚本,我们得到 两个凭证. 请记住,在OSCP认证中,不允许使用SQLMap或NoSQLMap.

下载:脚本NoSQL.py

我们使用用户的凭证“芒果” 与 the SSH协议 服务。

我们不’t access the “用户。txt”im体育吧,我们用“管理员”用户,我们阅读了“用户。txt”标志。

特权升级(根)

我们使用 lse.sh 脚本,我们枚举两个不常见的suid二进制im体育吧,我们将使用“js”用于特权升级。

如果不想使其复杂化,我们将直接读取root.txtim体育吧,但这在OSCP中无效,此外,它失去了boot2root的本质。

读取“根.txt”:

我们如何升级到根?有几种方法,我没有’变得复杂,我通过将我的公钥添加到“作者ity_keys” file of the 用户。

完成后,我们阅读“授权密钥” file of the 用户并检查我们的公钥是否已经存在。

我们连接到 SSH协议 服务于 用户,我们使用RSA私钥。

作者: 大卫·乌通 是针对Web应用程序,外围网络,内部和工业公司基础结构以及无线网络的渗透测试仪和安全审核程序。联络于 领英 推特.