Yeskawos/TryHackMe-Ice-Writeup
GitHub: Yeskawos/TryHackMe-Ice-Writeup
一份完整的 Ice CTF 机器实战写面,覆盖从信息收集到权限保持的攻击路径。
Stars: 0 | Forks: 0
# 🕵️♂️ TryHackMe:Ice CTF
**作者:** Córdoba
**日期:** 19/04/2026
**分类:** Windows 漏洞利用与后渗透 / eJPT
**目标:** 10.129.135.68
## 1. 初始侦察与端口扫描
审计的第一步是验证与目标机器的连通性,并进行端口扫描以识别攻击面。
* **网络检查与端口扫描:** 我通过 ICMP 跟踪 (ping) 确认了连通性,随后使用了 Nmap。扫描揭示了标准的 Windows 端口(135、139、445 SMB、3389 RDP)以及一个运行在 8000 端口上的关键服务,被识别为 **Icecast streaming media server**。
* *证据:*
## 2. 初始漏洞利用 (Initial Access)
在确认了存在漏洞的服务 (Icecast) 后,我开始使用 Metasploit Framework 进行漏洞利用阶段。
* **环境准备与漏洞搜索:** 我创建了一个专用的工作区 (`workspace -a Ice`) 以保持审计井然有序。随后,我使用了命令 `search icecast`,定位到了 `exploit/windows/http/icecast_header` 模块,该模块利用了一个缓冲区溢出漏洞。
* *证据:*
* **执行与访问:** 我配置了 exploit 的参数(`RHOSTS` 和 `LHOST`)并启动了攻击。漏洞被成功利用,赋予了我第一个 Meterpreter 会话(Session 1)。
* *证据:*
* **基础枚举:** 在系统内部,我执行了 `sysinfo` 确认架构(Windows 7 OS, x64),并执行了 `getuid`,确认我拥有标准用户(`Dark-PC\Dark`)的访问权限。
* *证据:*
## 3. 权限提升 (Privilege Escalation)
由于初始访问使用的是非最高权限用户,因此下一个目标是将我们的权限提升至 `NT AUTHORITY\SYSTEM`。
* **本地漏洞侦察:** 我在当前会话中使用了模块 `post/multi/recon/local_exploit_suggester`。该工具识别出多个提权向量,突出了一个通过 `eventvwr` 利用的用户账户控制 (UAC) 漏洞。
* *证据:*
* **Bypass UAC:** 我将当前会话切换到后台,并加载了模块 `exploit/windows/local/bypassuac_eventvwr`。在将原始会话配置为目标后,我执行了它,获得了一个具有高完整性的全新 Meterpreter 会话(Session 3)。
* *证据:*
* **迁移至 SYSTEM 与验证:** 为了巩固访问权限,我执行了进程迁移 (migrate) 到一个具有系统权限的服务中。执行 `getprivs` 时,我确认现在已拥有所有已启用的管理员权限(如 `SeDebugPrivilege`)。
* *证据:*
## 4. 后渗透与信息窃取 (Looting)
在完全控制 Windows 系统后,我进入了凭据收集和建立持久化的阶段。
* **内存凭据提取 (Kiwi):** 我通过命令 `load kiwi` 加载了 Kiwi 扩展(Metasploit 中内置的 Mimikatz 版本)。使用命令 `creds_all`,我成功提取了存储在 LSASS 内存中的明文密码和哈希值。
* *证据:*
* **SAM 转储与 RDP 持久化:** 为了确保访问权限并收集其余的本地凭据,我执行了经典命令 `hashdump`,提取了 Administrator、Dark 和 Guest 用户的 NTLM 哈希。最后,为了便于未来的横向移动,我使用脚本 `post/windows/manage/enable_rdp` 启用了远程桌面 (RDP) 服务。
* *证据:*
## ✅ 结论
已成功识别并利用了该主机上的多个漏洞向量,表明其补丁修复和防御加固水平低下:
1. **过时且易受攻击的软件:** 在外部暴露过时的多媒体服务 (Icecast) 且未进行相关更新,导致了远程代码执行 (RCE) 并获得了系统的初始访问权限。
2. **用户账户控制 (UAC) 缺陷:** Windows 7 中默认的 UAC 配置允许通过劫持事件查看器 (`eventvwr`) 的注册表来绕过 (Bypass UAC),从而促进了向管理员的权限提升。
3. **内存中的凭据暴露:** 缺乏 LSA Protection 和 Credential Guard 等现代保护机制,使得利用后渗透工具 (Mimikatz/Kiwi) 能够成功转储密码和 NTLM 哈希。
## 2. 初始漏洞利用 (Initial Access)
在确认了存在漏洞的服务 (Icecast) 后,我开始使用 Metasploit Framework 进行漏洞利用阶段。
* **环境准备与漏洞搜索:** 我创建了一个专用的工作区 (`workspace -a Ice`) 以保持审计井然有序。随后,我使用了命令 `search icecast`,定位到了 `exploit/windows/http/icecast_header` 模块,该模块利用了一个缓冲区溢出漏洞。
* *证据:*
* **执行与访问:** 我配置了 exploit 的参数(`RHOSTS` 和 `LHOST`)并启动了攻击。漏洞被成功利用,赋予了我第一个 Meterpreter 会话(Session 1)。
* *证据:*
* **基础枚举:** 在系统内部,我执行了 `sysinfo` 确认架构(Windows 7 OS, x64),并执行了 `getuid`,确认我拥有标准用户(`Dark-PC\Dark`)的访问权限。
* *证据:*
## 3. 权限提升 (Privilege Escalation)
由于初始访问使用的是非最高权限用户,因此下一个目标是将我们的权限提升至 `NT AUTHORITY\SYSTEM`。
* **本地漏洞侦察:** 我在当前会话中使用了模块 `post/multi/recon/local_exploit_suggester`。该工具识别出多个提权向量,突出了一个通过 `eventvwr` 利用的用户账户控制 (UAC) 漏洞。
* *证据:*
* **Bypass UAC:** 我将当前会话切换到后台,并加载了模块 `exploit/windows/local/bypassuac_eventvwr`。在将原始会话配置为目标后,我执行了它,获得了一个具有高完整性的全新 Meterpreter 会话(Session 3)。
* *证据:*
* **迁移至 SYSTEM 与验证:** 为了巩固访问权限,我执行了进程迁移 (migrate) 到一个具有系统权限的服务中。执行 `getprivs` 时,我确认现在已拥有所有已启用的管理员权限(如 `SeDebugPrivilege`)。
* *证据:*
## 4. 后渗透与信息窃取 (Looting)
在完全控制 Windows 系统后,我进入了凭据收集和建立持久化的阶段。
* **内存凭据提取 (Kiwi):** 我通过命令 `load kiwi` 加载了 Kiwi 扩展(Metasploit 中内置的 Mimikatz 版本)。使用命令 `creds_all`,我成功提取了存储在 LSASS 内存中的明文密码和哈希值。
* *证据:*
* **SAM 转储与 RDP 持久化:** 为了确保访问权限并收集其余的本地凭据,我执行了经典命令 `hashdump`,提取了 Administrator、Dark 和 Guest 用户的 NTLM 哈希。最后,为了便于未来的横向移动,我使用脚本 `post/windows/manage/enable_rdp` 启用了远程桌面 (RDP) 服务。
* *证据:*
## ✅ 结论
已成功识别并利用了该主机上的多个漏洞向量,表明其补丁修复和防御加固水平低下:
1. **过时且易受攻击的软件:** 在外部暴露过时的多媒体服务 (Icecast) 且未进行相关更新,导致了远程代码执行 (RCE) 并获得了系统的初始访问权限。
2. **用户账户控制 (UAC) 缺陷:** Windows 7 中默认的 UAC 配置允许通过劫持事件查看器 (`eventvwr`) 的注册表来绕过 (Bypass UAC),从而促进了向管理员的权限提升。
3. **内存中的凭据暴露:** 缺乏 LSA Protection 和 Credential Guard 等现代保护机制,使得利用后渗透工具 (Mimikatz/Kiwi) 能够成功转储密码和 NTLM 哈希。标签:Conpot, CTF, Metasploit, Web报告查看器, Windows安全, Writeup, XXE攻击, 协议分析, 插件系统, 权限提升, 渗透测试, 漏洞利用