渗透测试实战-HFS远程RCE漏洞利用

免责声明：文章来源于真实渗透测试，已获得授权，且关键信息已经打码处理，请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 

一、Rejetto HTTP File Server代码执行漏洞

Rejetto HTTP File Server（通常简称为HTTP File Server或HFS）是一款轻量级的HTTP服务器软件，它允许用户在本地计算机上快速搭建一个HTTP服务，用于文件共享或简单的网页托管。

1.信息收集的时候发现目标站点中存在Rejetto HTTP File Server系统且版本为2.3m，该系统存在远程RCE漏洞，具体漏洞细节现已在网上公布

2.尝试利用漏洞(CVE-2024-23692)执行系统命令

成功回显，并且可以看出该系统为windows系统

经过尝试后，发现该漏洞回显的信息只能回显出部分命令，经过多次尝试查看当前目录下文件、查看当前目录等命令均无法回显

3.执行curl --hlep命令查看是否存在curl工具

可以看到成功回显，确认存在curl工具

4.本想直接下载CS木马，但经过多次尝试一直无法上线，换个思路上传nc进行反弹shell

成功下载，尝试反弹shell，但经过多次尝试发现反弹的shell无法维持（大概过了30~60秒就会断掉，查看burp返回的信息和正常命令执行成功返回的信息不同，但每次重新执行又都能成功反弹，证明文件没问题，猜测是网络连接问题）

后经尝试利用反弹的shell再弹一个新的shell，成功回弹并且稳定连接

二、内网渗透 

1.上传了几个内网信息收集的工具，发现上传后一会文件就被删除了（破案了，为什么一开始上传的文件都没法执行，免杀技术太老了，工具都被删除了），先用一下原始的方法，收集信息

systeminfo

        判断是否为域环境，同时可以查看补丁信息

netstat -ano

        查看端口开放情况，开放了哪些服务

for /L %I in (1,1,254) DO @ping -w 1 -n 1 10.0.0.%I | findstr "TTL="

        使用ping命令配合cmd语法进行C段扫描

2.收集了一波信息，发现机器上存在很多敏感信息文件，还发现了一个密码本（本想通过弱口令上线数据库来着，后来经过尝试发现数据库服务下线了，没办法，只能放弃）

3.摸索一会感觉不太行，想要继续深入还是需要挂代理，只能加强一波免杀技术，尝试上线，进行内网渗透

4.顺便上传一个fscan扫描一下内网资产（通过fscan扫出内网的资产还是挺多的，直接扫出来2个ssh弱口令、9个ftp弱口令和9台存在MS17-010漏洞的主机）

获得的成果部分展示（MS17-010可能会导致目标蓝屏，影响正常业务，故而没有进行复现只做了验证）

5.内网网段中存在大量路由器和打印机等设备，尝试进行弱口令登录（展示部分成果）

RouterOS v6.44.5：admin/空

RICOH打印机：admin/空

惠普HP打印机：admin/admin

三、总结 

成功拿下了一台windows主机mis用户权限，9个ftp共享目录及其泄露信息，6台打印机，4台路由器和9台windows主机system权限（MS17-010漏洞，已验证但未进行复现）

        主要难度还是在前期命令执行部分命令执行结果不回显问题（windows中也可以学习linux渗透的思路，将命令执行结果输出到文件中进行读取，但该目标中一直找不到默认目录，读不到输出结果的文件），需要多思考，并且大部分情况下反弹Shell不是最优解， 可以直接CS上线或者添加新用户利用3389进行远程登录（因为主机用户权限问题均未成功），内网渗透过程中有点过于依赖工具，虽然没有碰到域环境但是内网主机数量非常多，也有其他的一些网站且普遍站点比较老，继续渗透的话应该还是能出漏洞的，还是需要多思考总结