Retro
Task1 Pwn
nmap扫描发现靶机为windows server 2012或2016,开启了80与3389端口
1.A web server is running on the target. What is the hidden directory which the website lives on?
使用gobuster进行目录扫描,字典使用/wordlists/gobuster/directory-list-2.4-medium.txt,确定隐藏目录为retro
2.user.txt
Wappalyzer确定使用CMS为wordpress 5.2.1,数据库为mysql,在http://ip/retro/wp-login.php找到wordpress后台管理页面。主页面文章显示作者是wade,管理页面尝试用户名枚举,确定用户名为wade。在Ready Player One帖子下找到评论包含关键信息parzival
使用wade:parzival远程连接登录windows成功。在wade用户桌面找到user.txt,为3b99fbdc6d430bfb51c72c651a261927。
3.root.txt
查看浏览器历史记录,发现用户在搜索漏洞CVE-2019-1388且保存了一个关于CVE-2019-1388的标签。
搜索CVE-2019-1388 ,这是一个可以提权的漏洞且影响机器包括靶机系统,回收站中还有hhupd.exe正是利用该漏洞所需要的工具,将其还原进行提权。
Microsoft Windows Certificate Dialog权限提升漏洞 (CVE-2019-1388)
发布日期:2019-11-12
受影响系统:
Microsoft Windows Server 2019;Microsoft Windows Server 2016;Microsoft Windows Server 2012;Microsoft Windows Server 2008 R2;Microsoft Windows Server 2008;Microsoft Windows RT 8.1;Microsoft Windows 8.1;Microsoft Windows 7
按照Github上的提权步骤,在点击证书链接时遇到困难,无法自动跳转浏览器,即使设置默认浏览器依然无法跳转;按照教程提示提前打开浏览器依然无法自动跳转。
转向使用另一漏洞进行提权操作;
Windows COM组件提权漏洞)-CVE-2017-0213
影响版本:Windows10,包括1511、1607、1703这三个版本 Windows 7 SP1 Windows 8.1、RT8.1 Windows Server 2008 SP2、2008R2 SP1 Windows Server 2012、2012R2 Windows Server 2016
https://github.com/WindowsExploits/Exploits/tree/master/CVE-2017-0213
在Github上下载CVE-2017-0213_x64.exe后,上传至靶机运行,提权完成后会弹出拥有管理员权限的cmd窗口。
在C:\Users\Administrator\Desktop目录下找到root.txt,得到7958b569565d7bd88d10c6f22d1c4063。