Hack The Box - Bastion Writeup

• nmap 结果如下：
• 因为有RPC端口开放，因此我又进行了全端口扫描（nmap -p- -vvv 10.10.10.134），发现了一些其他的开放端口，其中5985端口运行着WinRM，说不定等会会用到。
• 用smbmap对445端口进行枚举，结果如下：
• 我们对Backups这个共享有读的权限，可以用smbmap -u guest -H 10.10.10.134 -R Backups来进行目录遍历。其中可以看到vhd文件，vhd即virtual hard disk。
• 理论上可以远程挂载vhd文件进行操作，但我的Win10并没有自带Mount-VHD这一命令，HyperV的功能似乎也不开放，于是我索性把5G多的vhd直接下载下来了。
• 下载完之后，在Windows命令行中输入如下命令：
  • > diskpart
  • > select vdisk file="c:\a.vhd"
  • > attach vdisk
  • 结束后，> detach vdisk
• Windows的hash后的密码存储在C:\Windows\System32\config\SAM中，把SAM和SYSTEM文件复制到Kali中。使用samdump2把SAM提取成可破解的格式（samdump2 SYSTEM SAM > hash.txt）。
• 用John破解该hash：John --format=NT --wordlist=rockyou.txt hash.txt，得到一对用户名和密码。
• 凭借刚得的用户名和密码，通过ssh登录远程主机，此时可查看user.txt。
• 为了提升权限，可以跑Sherlock.ps1查看有无漏洞。然而这个box不需要我们这么做，因为它安装了一个叫mRemoteNG（https://github.com/mRemoteNG/mRemoteNG）的软件。该软件的confCons.xml中存储了远程连接的配置信息，我们只需要利用这个xml文件即可。
• 在Windows主机中安装mRemoteNG，打开从目标主机中下载的confCons.xml，结果如图：
• Administrator的密码已经被通过xml文件自动加载了，保持原样就好，至于具体是什么需要关心吗？修改IP和连接协议（RDP->SSHv2)，右键连接，搞定。

这个box不是很难，但相当realistic。我在整个过程中学到了很多东西，比如smb enumeration，vhd如何挂载，mRemoteNG等等，非常有意思。