CISP-PTE综合靶场解析,msf综合利用MS14-058【附靶场环境】
CISP-PTE综合靶场解析,msf综合利用MS14-058【附靶场环境】
前言
需要靶场的朋友们,可以在后台私信【pte靶场】,有网安学习群,可以关注后在菜单栏选择学习群加入即可
信息收集
题目要求:给定一个ip,找到3个KEY。
nmap扫描,为了节省时间,这里改了端口,就不使用-p-全端口扫描了,源靶机在20000+端口
扫描到这个端口进行访问
御剑扫描
有爬虫协议
访问后台首页
看看有没有git泄露,报了个iis报错界面,iis有web.config
看看有没有备份文件,嗯,很好
打开,看到了账号密码
用sqlserver连接不知道为什么应该是系统问题
使用pycharm专业版连接,指定好数据库,主机,账号,端口,密码
后台回复【激活】即可获取 pycharm专业版 激活到2099的激活工具(仅限windows)
有4张表
找到管理员密码
登录就好,找到了第一个key
web漏洞利用
文件上传,a都上传不了,说明是白名单,换思路
这里开始分析
这里我们看到这个管理上传文件,有一个aspx文件
下载下来看看,这不是一句话木马嘛
访查看源码问这个文件
传参试试
蚁剑连接
查看系统信息
查看系统配置,改密码,没有权限
我们返回web目录,有一个key2key.key这个就是第二个key
后渗透
我们打开kali,并配置好桥接模式
生成后门,并把这个payload记好,便签即可
打开msfconsole
,使用这个模块multi/handler
由于生成的木马文件在kali里面,kali没有蚁剑,这时候我们就将后门传到本机,然后由本机传到靶机上,python3开启http服务
本机访问这个kali的IP地址,这时候如果出现页面不可访问,那么大概率是防火墙没有放行8888端口,需要在kaili放行8888端口,命令参考
sudo ufw allow 8888/tcp
下载下来后,用蚁剑传文件到目标靶机上
使用web虚拟shell执行后门
反弹shell成功
获取系统信息,没有权限
提权
1、ms14-058
成功上线后,使用bg维持会话的同时继续执行其他模块,可以看到bg之后会生成一个session,记住这个session,使用search windows/local/ms14_058
搜索模块,use 0
指定payload模块为搜索到的第一个结果,使用ms14_058模块的时候,需要设置这个session为你刚刚上线成功的session,否则会导致执行不成功,run
这里遇到个问题端口配置不正确
该站点存在此漏洞,但是shell会话建立不成功,这个时候就是你的端口配置不对了,必须要是你msfvenom后门使用模块的指定端口,不然都会不成功
重新设置端口为msfvenom设置的端口,网上大多数教程都没有详细介绍,只是走个过场,我自己也试过很多坑,才发现
可以看到,提权成功了,使用hashdump查看用户hash密码
解密hash密码
开启3389远程连接
run post/windows/manage/enable_rdp
我们去网站根目录,还发现有个bak文件,2022-12-12
打开,既然是我们sqlserver数据库超级管理员账户和密码
利用这个sa账户,关掉防火墙用到 admin/mssql/mssql_exec模块
执行成功,如果不关闭防火墙的话可能导致远程连接连接不上
打开桌面
2、手工
得知sa账户密码后,使用sa登录
获取系统命令,这时候发现,sa拥有system系统权限
关闭防火墙
netsh firewall set opmode mode="disable"
开启3389远程连接
wmic rdtoggle where servername="%computername%" call setallowtsconnections 1
开启3389
成功,在这里虽然没有用户密码,但是可以新建用户,然后远程登录,这里还有另外一种方法
直接在命令行查找key