HTB: VulnEscape
Box信息
| 属性 |
值 |
| 名称 |
VulnEscape |
| 发布日期 |
2025年7月8日 |
| 退役日期 |
2025年7月8日 |
| 操作系统 |
Windows |
| 难度 |
简单 [20分] |
| 创建者 |
xct |
侦察
初始扫描
Nmap扫描显示仅开放一个TCP端口:RDP(3389):
1
2
3
4
5
6
7
8
9
|
oxdf@hacky$ nmap -p- -vvv --min-rate 10000 10.129.234.51
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-07-06 19:31 UTC
...[snip]...
Nmap scan report for 10.129.234.51
Host is up, received echo-reply ttl 127 (0.15s latency).
Scanned at 2025-07-06 19:31:40 UTC for 14s
Not shown: 65534 filtered tcp ports (no-response)
PORT STATE SERVICE REASON
3389/tcp open ms-wbt-server syn-ack ttl 127
|
详细版本扫描确认Windows系统信息:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
oxdf@hacky$ nmap -p 3389 -sCV 10.129.234.51
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-07-06 19:35 UTC
Nmap scan report for 10.129.234.51
Host is up (0.089s latency).
PORT STATE SERVICE VERSION
3389/tcp open ms-wbt-server Microsoft Terminal Services
| rdp-ntlm-info:
| Target_Name: ESCAPE
| NetBIOS_Domain_Name: ESCAPE
| NetBIOS_Computer_Name: ESCAPE
| DNS_Domain_Name: Escape
| DNS_Computer_Name: Escape
| Product_Version: 10.0.19041
|_ System_Time: 2025-07-06T19:59:33+00:00
|
RDP - TCP 3389
使用xfreerdp连接并验证KioskUser0空密码凭证:
1
2
3
|
oxdf@hacky$ netexec rdp 10.129.234.51 -u KioskUser0 -p ''
RDP 10.129.234.51 3389 ESCAPE [*] Windows 10 or Windows Server 2016 Build 19041
RDP 10.129.234.51 3389 ESCAPE [+] Escape\KioskUser0: (Pwn3d!)
|
登录后显示全屏图像,表明处于Kiosk模式。
Kiosk逃逸
启动Edge
按Windows键打开开始菜单,搜索并启动Edge浏览器。
访问文件系统
在Edge地址栏输入C:访问文件系统,发现user.txt文件:
1
|
C:\Users\kioskUser0\Desktop\user.txt
|
Shell
下载cmd.exe
从C:\Windows\System32下载cmd.exe到Downloads目录。
绕过命名允许列表
将cmd.exe重命名为msedge.exe(基于名称的允许列表绕过),成功执行:
1
|
PS C:\Users\kioskUser0\Downloads> .\msedge.exe
|
管理员Shell
枚举
发现隐藏目录C:\_admin,包含profiles.xml文件:
1
2
3
4
5
6
7
8
9
10
|
<?xml version="1.0" encoding="utf-16"?>
<!-- Remote Desktop Plus -->
<Data>
<Profile>
<ProfileName>admin</ProfileName>
<UserName>127.0.0.1</UserName>
<Password>JWqkl6IDfQxXXmiHIKIP8ca0G9XxnWQZgvtPgON2vWc=</Password>
<Secure>False</Secure>
</Profile>
</Data>
|
恢复管理员密码
使用Remote Desktop Plus导入配置文件,但密码被星号遮蔽。使用BulletsPassView工具解密密码:
- 通过SMB共享传输BulletsPassView.exe
- 运行工具显示明文密码
低权限Shell
使用runas命令以admin身份启动PowerShell:
1
|
PS C:\> runas /user:admin powershell
|
但受UAC限制,权限不全。
UAC绕过
在GUI中运行:
1
|
start-process powershell.exe -verb runas
|
通过UAC对话框提升权限,获得完整管理员权限。
额外发现
语言设置
系统默认设置为韩语,通过设置更改为英语。
Kiosk模式配置
将KioskUser0加入Administrators组后,可查看Kiosk模式设置:
1
|
PS C:\> net localgroup administrators /add KioskUser0
|
配置显示Edge以Kiosk用户身份全屏运行本地主机网站。
技术要点总结:通过RDP端口枚举、Kiosk模式逃逸、文件系统访问、凭证提取、UAC绕过等技术手段,完整渗透Windows靶机并获得系统完全控制权。