当前位置：首页 > news >正文

渗透实战 | HTB Bastion靶场入门必备:从SMB到MRemoteNG的提权之路

news 2026/6/28 10:03:55

介绍

Bastion 是一个简单级 Windows 盒子，内置一个 VHD（虚拟硬盘）镜像，可以提取凭证。登录后，发现安装了MRemoteNG软件，该软件不安全存储密码，可以提取凭证。

url:https://app.hackthebox.com/machines/Bastion

靶场信息

目标：Bastion

ip：10.129.136.29

本机ip：10.10.16.5

操作系统：Windows

攻击路径：

过程

一.信息收集

1.1测试一下连通性

1.2端口扫描

1.2.1接着使用Rustscan进行端口扫描

└─# rustscan -a 10.129.136.29

RustScan 成功地快速识别出目标主机上共有 13 个开放的 TCP 端口。这些端口包括：

常见服务端口：22 (SSH), 135 (MSRPC), 139 (NetBIOS), 445 (SMB), 5985 (WinRM)
高位动态端口：47001, 以及 49664 到 49670 的一系列端口。这些端口通常与 Windows 系统的后台服务（如 RPC 动态端口分配）有关。

1.2.2使用nmap进行扫描

└─# nmap -Pn -sC -sV 10.129.136.29

└─# nmap -sV -sC -O -T4 10.129.136.29

22/tcp (SSH): 运行的是OpenSSH for Windows 7.9。这在 Windows 服务器上越来越常见，但版本 7.9 可能已较旧，存在潜在漏洞风险。扫描还获取了其 SSH 主机密钥指纹。
445/tcp (SMB): 确认服务为Windows Server 2016 Standard 14393 microsoft-ds。这是最关键的发现在之一，直接指明了操作系统和版本。
5985/tcp (HTTP): 服务识别为Microsoft HTTPAPI httpd 2.0，这是 Windows 远程管理服务使用的 HTTP 接口。
其他端口如 135、139 也都被正确识别为对应的 Windows RPC 和 NetBIOS 服务。

这里发现smb和ssh都开启了，尝试利用smb，检查一下是否在SMB上存在使用null绑定的开放共享。

1.3smbclient

smbclient是Samba项目的命令行客户端程序，用于访问SMB/CIFS协议服务器，支持Linux与Windows系统间的资源共享。该工具通过//服务器名称/共享资源格式访问网络资源，兼容Windows 95/98/NT等系统的通信协议，提供类似FTP的交互式操作界面。

SMBMap 允许用户枚举整个域中的 samba 共享驱动器。列出共享驱动器、驱动器权限、共享内容、上传/下载功能，文件名自动下载模式匹配，甚至执远程命令。该工具的设计考虑到了笔测试，并且旨在简化对大型数据中潜在敏感数据的搜索网络。

smbmap -u guest -H 10.129.136.29

发现Backups具有读权限将其下载到kali中进行查看

└─# smbclient -N -L //10.129.136.29

发现的共享：

ADMIN$- 远程管理共享
Backups- 默认共享（可能是备份目录）
C$- 系统盘根目录共享
IPC$- 进程间通信共享

# 尝试连接Backups共享（最可能有有用信息）

smbclient -N //10.129.136.29/Backups

成功访问，并检查其中内容。

系统管理员:请不要将整个备份文件本地传输，到分公司办公室的VPN速度太慢。

整个文件备份应该是指WindowsImageBackup这个文件夹

smb: \WindowsImageBackup\L4mpje-PC\> cd "Backup 2019-02-22 124351"
#这里名称的问题，可以加个双引号或者是用反斜杠

有两个vhd文件，查了一下是微软的虚拟机文件格式，相当于虚拟机的硬盘。

二.敏感文件提取

2.1samdump2拿到sam哈希

这里可以使用的是windows来连接靶机

还可以使用把远程文件挂载到本地

挂载本地

└─# mount -t cifs //10.129.136.29/backups /root/Desktop/often/Bastion/ -o user=,password=

挂载成功查看文件内容

安装vhd挂载所需程序

sudo apt-get install libguestfs-tools

samdump2是一款用于从Windows系统SAM文件中提取密码哈希的工具，支持Windows 2000/NT/XP/Vista等版本。

检查挂载磁盘

sudo guestfish --ro -a '/root/Desktop/often/Bastion/WindowsImageBackup/L4mpje-PC/Backup 2019-02-22 124351/9b9cfbc3-369e-11e9-a17c-806e6f6e6963.vhd'

sudo guestfish --ro -a '/root/Desktop/often/Bastion/WindowsImageBackup/L4mpje-PC/Backup 2019-02-22 124351/9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd'

在kali上挂载远程分享文件夹下的vhd文件

guestmount -a '/root/Desktop/often/Bastion/WindowsImageBackup/L4mpje-PC/Backup 2019-02-22 124351/9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd' -m /dev/sda1 --ro /root/Desktop/often/Bastion

guestmount -a '/root/Desktop/often/Bastion/WindowsImageBackup/L4mpje-PC/Backup 2019-02-22 124351/9b9cfbc3-369e-11e9-a17c-806e6f6e6963.vhd' -i --ro /root/Desktop/often/Bastion1

guestmount -a '/root/Desktop/often/Bastion/WindowsImageBackup/L4mpje-PC/Backup 2019-02-22 124351/9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd' -i --ro /root/Desktop/often/Bastion1

第一个没有找到

现在进入/root/htb/Bastion/windows就相当于进入了靶机的备份的windows系统

进入Windows/System32/config目录下使用samdump2 SYSTEM SAM 命令查看是否存在散列哈希。

samdump2 SYSTEM SAM

成功拿到sam哈希

L4mpje:1000:aad3b435b51404eeaad3b435b51404ee:26112010952d963c8dc4217daec986d9:::