HTB-Responder(文件包含和哈希破解)

前言

各位师傅大家好，我是qmx_07,今天给大家讲解Responder靶场

渗透过程

信息搜集

• 服务器开放了80,5985端口
• 尝试访问网站
• 5985端口是一种远程管理协议

绑定域名

• 我们发现访问ip，进行了重定向跳转，需要绑定一下域名

 echo "10.129.160.123  unika.htb" > /etc/hosts

• 这样就可以成功访问啦
  
• 点击到切换语言，发现有?page=german.html 疑似有文件包含
  
• 确认有文件包含漏洞

Responder捕获NTLM

• Responder工具会设置一个恶意的SMB协议服务器，当目标访问该服务器SMB资源时，会进行NTLM身份验证，对此进行监听捕获，就可以得知对方加密后的密码

工具下载:

 git clone https://github.com/lgandx/Responder

python3 Responder.py -I 监听网卡

• 捕获到账户名为Administrator

• 将账号输出文件，后续进行解密操作
  

John解密

• 介绍：John the Ripper（通常简称为 John）是一款广泛使用的密码破解工具，主要用于测试密码的强度和恢复被遗忘的密码。它是开源的，支持多种操作系统，包括 Linux、Windows 和 macOS。持多种加密算法，如 DES、MD5、SHA-1、SHA-256、bcrypt 等。
• 常用语法：

1.使用字典文件进行破解
 john --wordlist=my_wordlist.txt my_password_file.txt
2.显示已经破解的密码
john --show my_password_file.txt
3.指定哈希格式破解
john --format=md5 my_password_file.txt

• 密码是: badminton
• 所使用的rockyou.txt，存放在/usr/share/wordlists 目录
  

连接服务器

• 通过evil-winrm协议，进入服务器系统，读取flag文件
• flag:ea81b7afddd03efaa0945333ed147fac

知识点讲解

文件包含讲解

• 介绍：通常是由于开发者想要调用其他文件造成，比如说 web服务器和mysql数据库形成一个动态的网站，这时候就要频繁调用mysql的相关配置，这时候 我们将 相关配置 写入一个文件，进行调用 就会方便很多
• 但是，由于没有对包含文件进行充分的验证和过滤，就能够让攻击者读取任意文件

本地文件包含

• 介绍：攻击者能够包含服务器上本地的文件
• 配合返回上一级的命令，来读取任意文件

远程文件包含

• 介绍：攻击者能够包含远程服务器的文件，加载恶意文件，比如一句话木马webshell
• 防御措施 ：使用白名单，将allow_url_include设置为off 禁用远程文件包含

NTLM

• 介绍：NTLM（NT LAN Manager）是一种由微软开发的身份验证协议，主要用于Windows环境中。它最初是在Windows NT操作系统中引入的，旨在为网络上的用户提供安全的身份验证机制。NTLM主要用于局域网（LAN）环境，但也可以在广域网（WAN）和互联网环境中使用
• 身份认证 ：响应机制进行身份验证。客户端向服务器发送请求，服务器生成一个随机挑战值（nonce），并将其发送给客户端。客户端使用其密码的哈希值和挑战值生成响应，然后将该响应发送回服务器进行验证。

WINRM

• 介绍：Windows Remote Management (WinRM) 是微软提供的一种远程管理协议，基于 Web Services for Management (WS-Man) 标准，允许系统管理员通过网络远程管理和监控 Windows 设备和服务。WinRM 主要用于自动化管理任务、远程执行命令和获取系统信息
• 可以通过 WinRM 在远程计算机上执行 PowerShell 命令和脚本，进行系统配置和管理

答案

• 1.我们使用ip访问，重定向的域名是什么?

unika.htb

• 2.服务器使用哪个后端语言?

php

• 3.在服务器用于文件包含的参数是什么？

page

• 4.在服务器中 使用哪个选项 看起来更有用？

.../.../.../.../.../.../.../.../windows/system32/drivers/etc/hosts

• 5.在服务器上远程文件包含的示例是什么？

10.10.14.6/somefile

6.NTLM代表什么？

New Technology Lan Manager

• 7.Responder使用什么监听端口？

I

• 8.John密码破解工具的全称是什么？

John The Ripper

• 9.管理员密码是什么?

badminton

• 10.WinRm服务监听哪个端口？

5985

• 11.flag是什么？

ea81b7afddd03efaa0945333ed147fac

总结

• 我们讲解了文件包含、Responder工具，John the ripper工具，WinRM协议的相关知识