0x01 信息收集与探索

使用Nmap对靶场地址进行端口嗅探，发现对外开放80端口，且为Windows操作系统。

查看80端口Web页面如下，未发现敏感信息。

使用nikto对Web服务进行漏洞扫描，发现其IIS版本为6.0，开启了DAV服务，允许使用危险的HTTP方法。

使用Dirsearch对http://10.129.95.234/进行目录扫描，发现/_vti_bin/等敏感目录，通过上面Nikto漏扫发现是存在Dos攻击漏洞的。

使用Searchsploit对IIS 6.0版本进行漏洞发现，发现存在以下漏洞，因为开启了WebDAV众多方法，着重考虑。

搜索了解“Microsoft IIS 6.0 - WebDAV 'ScStoragePathFromUrl' Remote Buffer Overflow ”漏洞，发现其对应CVE-2017-7269漏洞编号，在MSF有相关利用模块。

0x02 权限获取

在MSF中利用exploit/windows/iis/iis_webdav_scstoragepathfromurl模块，设置参数信息如下：

成功获取到shell，但是发现不具备执行命令权限。

查看进程信息如下：

将shell的进程迁移到具备User权限的进程上，进程迁移成功，使用getsystem进行提权未能提权成功。

0x03 权限提升

使用post/multi/recon/local_exploit_suggester辅助提权模块进行扫描，发现可能存在以下提权方法。

尝试利用exploit/windows/local/ms16_075_reflection提权，未能提权成功。

最终利用exploit/windows/local/ms14_058_track_popup_menu模块提权至System权限。

分别在Lakis和Administrator目录下获取flag文件。

C:Documents and SettingsLakisDesktop>type user.txt

C:Documents and SettingsAdministratorDesktop>type root.txt

原文始发于微信公众号（Matrix1024）：HTB靶场系列之Granny通关攻略