前言
通过百度网盘分享的文件:CISP-PTE链接:https://pan.baidu.com/s/1phyl0qPb4KxWCmAnFiwwYw?pwd=1212 提取码:1212 --来自百度网盘超级会员V4的分享
信息收集
题目要求:给定一个ip,找到3个KEY。
nmap扫描,为了节省时间,这里改了端口,就不使用-p-全端口扫描了,源靶机在20000+端口
扫描到这个端口进行访问
御剑扫描
有爬虫协议
访问后台首页
看看有没有git泄露,报了个iis报错界面,iis有web.config
看看有没有备份文件,嗯,很好
打开,看到了账号密码
用sqlserver连接不知道为什么应该是系统问题
使用pycharm专业版连接,指定好数据库,主机,账号,端口,密码
❝
有4张表
找到管理员密码
登录就好,找到了第一个key
web漏洞利用
文件上传,a都上传不了,说明是白名单,换思路
这里开始分析
这里我们看到这个管理上传文件,有一个aspx文件
下载下来看看,这不是一句话木马嘛
访查看源码问这个文件
传参试试
蚁剑连接
查看系统信息
查看系统配置,改密码,没有权限
我们返回web目录,有一个key2key.key这个就是第二个key
后渗透
我们打开kali,并配置好桥接模式
生成后门,并把这个payload记好,便签即可
打开msfconsole,使用这个模块multi/handler
由于生成的木马文件在kali里面,kali没有蚁剑,这时候我们就将后门传到本机,然后由本机传到靶机上,python3开启http服务
本机访问这个kali的IP地址,这时候如果出现页面不可访问,那么大概率是防火墙没有放行8888端口,需要在kaili放行8888端口,命令参考
sudo ufw allow 8888/tcp
下载下来后,用蚁剑传文件到目标靶机上
使用web虚拟shell执行后门
反弹shell成功
获取系统信息,没有权限
提权
1、ms14-058
成功上线后,使用bg维持会话的同时继续执行其他模块,可以看到bg之后会生成一个session,记住这个session,使用search windows/local/ms14_058 搜索模块,use 0指定payload模块为搜索到的第一个结果,使用ms14_058模块的时候,需要设置这个session为你刚刚上线成功的session,否则会导致执行不成功,run
这里遇到个问题端口配置不正确
该站点存在此漏洞,但是shell会话建立不成功,这个时候就是你的端口配置不对了,必须要是你msfvenom后门使用模块的指定端口,不然都会不成功
重新设置端口为msfvenom设置的端口,网上大多数教程都没有详细介绍,只是走个过场,我自己也试过很多坑,才发现
可以看到,提权成功了,使用hashdump查看用户hash密码
解密hash密码
开启3389远程连接
run post/windows/manage/enable_rdp
我们去网站根目录,还发现有个bak文件,2022-12-12
打开,既然是我们sqlserver数据库超级管理员账户和密码
利用这个sa账户,关掉防火墙用到 admin/mssql/mssql_exec模块
执行成功,如果不关闭防火墙的话可能导致远程连接连接不上
打开桌面
2、手工
得知sa账户密码后,使用sa登录
获取系统命令,这时候发现,sa拥有system系统权限
关闭防火墙
netsh firewall set opmode mode="disable"
开启3389远程连接
wmic rdtoggle where servername="%computername%"call setallowtsconnections1
开启3389成功,在这里虽然没有用户密码,但是可以新建用户,然后远程登录,这里还有另外一种方法
直接在命令行查找key
原文始发于微信公众号(小羽网安):CISP-PTE 综合靶场1 图文解析,msf综合利用MS14-058提权漏洞【附靶场环境】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论