对HackTheBox里的Access靶场进行测试

首先，我要说这台机器花了我大约6个小时来完成整个工作。我掉了几个万恶的坑里，最终的解决方案比我想象的要简单得多。

我的第一步。在新计算机上启动时，几乎总是这样，即执行nmap扫描以查看运行情况。

从输出中我们可以看到有3个服务。Telnet，HTTP和FTP。首先检查HTTP是最简单的方法。所以我浏览到http://10.10.10.98，在其中显示了一个页面，其中包含名为out.jpg的图像，该图像显示了服务器机房的摄像机视图，上方显示了文本LON-MC6。查看源代码时，页面上没有任何隐藏内容。

因为这似乎暂时还没有到位。接下来，我决定尝试通过使用ncftp进行连接以检查FTP服务：

从上面的输出中可以看到。FTP服务接受来宾登录，因为它不提示输入密码。它包含两个名为“ Backups and Engineer”的目录，在“ Backups”中具有一个backup.mdb文件，在Engineer中具有“ Access Control.zip”文件。我使用get命令将它们都下载到本地计算机。我最初尝试使用标准ftp命令而不是ncftp来执行此操作。但是由于某种原因，它不会正确下载backup.mdb并损坏。因此，出于这个原因，我改用了ncftp，效果很好。接下来，我厌倦了解压缩“ Access Control.zip”，但是它受到密码保护。

然后，我将backup.mdb复制到我的Windows计算机上，并使用一些名为MDB Viewer的免费软件打开了该文件。该文件包含许多我搜索过的表。似乎很重要的一个表称为auth_user，其中包含3个用户/密码组合。我对“ Access Control.zip”上的每个密码都感到厌倦，密码access4u @ security可以解压缩并提取其中的PST文件。

PST文件是交换邮箱的存储文件。我将PST文件导入到Thunderbird中，这使我可以查看文件中包含的电子邮件。

我的下一步是通过使用电子邮件中提供的凭据进行连接，检查nmap找到的最终Telnet服务。

从这里我们可以访问机器。本机有2个标志。一个用户标志存储在c：\ Users \ security \ Desktop \ user.txt中，一个根标志存储在c：\ Users \ security \ Desktop \ user.txt中。因此，我将其CD到桌面，并将user.txt的内容输出到命令行。

因此，我们现在已经成功获取了用户标志。下一步是获取根标志。这是我花费最多时间实现的目标。我花了很长时间尝试上载和运行Shell并使用ZKAccess3.5程序执行特权升级，但是这些都不成功。最后起作用的方法是使用runas命令。这允许您以其他用户的身份从命令行运行某些内容。因此，我本质上想做的就是运行命令“键入c：\ Users \ Administrator \ Desktop \ root.txt”。作为管理员。我最初尝试仅运行“ runas / user：administrator”类型c：\ Users \ Administrator \ Desktop \ root.txt。此问题是Runas产生了第二个窗口来运行命令并输出结果。所以您不会在窗口中看到输出。

我尝试输入在backup.mdb中找到的其他密码，但是没有一个起作用。我发现的是runas命令的一个选项，它允许您为用户使用保存的凭据。因此，如果管理员帐户的凭据保存在Windows凭据管理器中。这些可用于以管理员身份运行命令，而无需手动输入密码。这是通过使用/ savecred开关完成的。我发现即使使用了它，本来应该是root.txt的内容（root标志）的输出也是空白的。这是由于该命令在telnet会话之外的另一个视图中运行。经过大量的猜测和操作后，我发现以下命令起作用了，从而允许我运行所需的命令并将结果输出到txt文件中，可以在当前会话中查看该文件。

如您所见，此操作成功完成，我能够以管理员身份执行命令并读取root.txt的内容。

end