CISP-PTE 综合靶场1 图文解析，msf综合利用MS14-058提权漏洞【附靶场环境】

前言

需要靶场的朋友们，可以在后台私信【pte靶场】，有网安学习群，可以关注后在菜单栏选择学习群加入即可

image-20240803161058086

信息收集

题目要求：给定一个ip，找到3个KEY。

nmap扫描，为了节省时间，这里改了端口，就不使用-p-
全端口扫描了，源靶机在20000+端口

image-20240802171654486

扫描到这个端口进行访问

image-20240802171714131

御剑扫描

image-20240802224605272

有爬虫协议

image-20240802172012107

访问后台首页

image-20240802172122291

看看有没有git泄露，报了个iis报错界面，iis有web.config

image-20240802174707478

看看有没有备份文件，嗯，很好

image-20240802225252858

image-20240802225239655

打开，看到了账号密码

用sqlserver连接不知道为什么应该是系统问题

image-20240802175204516

使用pycharm专业版连接，指定好数据库，主机，账号，端口，密码

❝

后台回复【激活】即可获取 pycharm专业版 激活到2099的激活工具（仅限windows）

image-20240803142350728

image-20240802225519386

有4张表

image-20240802183119334

找到管理员密码

image-20240802183240588

登录就好，找到了第一个key

image-20240802183233222

web漏洞利用

文件上传，a都上传不了，说明是白名单，换思路

image-20240802185222889

这里开始分析

image-20240802185425969

这里我们看到这个管理上传文件，有一个aspx文件

image-20240803134848429

下载下来看看，这不是一句话木马嘛

image-20240802185613171

访查看源码问这个文件

image-20240802185752533

传参试试

image-20240802185820899

蚁剑连接

image-20240802190018754

查看系统信息

image-20240802190737786

查看系统配置，改密码，没有权限

image-20240802193317524

我们返回web目录，有一个key2key.key这个就是第二个key

image-20240802194138113

后渗透

我们打开kali，并配置好桥接模式

image-20240802194919340

生成后门，并把这个payload记好，便签即可

image-20240802202632854

打开msfconsole
，使用这个模块multi/handler

image-20240802195722842

由于生成的木马文件在kali里面，kali没有蚁剑，这时候我们就将后门传到本机，然后由本机传到靶机上，python3开启http服务

image-20240802195853570

本机访问这个kali的IP地址，这时候如果出现页面不可访问，那么大概率是防火墙没有放行8888端口，需要在kaili放行8888端口，命令参考

sudo ufw allow 8888/tcp

image-20240802200340182

下载下来后，用蚁剑传文件到目标靶机上

image-20240802200331201

使用web虚拟shell执行后门

image-20240802200455459

反弹shell成功

image-20240802202847132

获取系统信息，没有权限

image-20240803140126502

提权

1、ms14-058

成功上线后，使用bg维持会话的同时继续执行其他模块，可以看到bg之后会生成一个session，记住这个session，使用search windows/local/ms14_058
搜索模块，use 0
指定payload模块为搜索到的第一个结果，使用ms14_058模块的时候，需要设置这个session为你刚刚上线成功的session，否则会导致执行不成功，run

这里遇到个问题端口配置不正确

image-20240802205040783

该站点存在此漏洞，但是shell会话建立不成功，这个时候就是你的端口配置不对了，必须要是你msfvenom后门使用模块的指定端口，不然都会不成功

image-20240803141100116

重新设置端口为msfvenom设置的端口，网上大多数教程都没有详细介绍，只是走个过场，我自己也试过很多坑，才发现

image-20240803141254098

image-20240802204953825

可以看到，提权成功了，使用hashdump查看用户hash密码

image-20240803141818163

解密hash密码

image-20240803142055694

开启3389远程连接

run post/windows/manage/enable_rdp

image-20240802205721516

我们去网站根目录，还发现有个bak文件，2022-12-12

image-20240802214533785

打开，既然是我们sqlserver数据库超级管理员账户和密码

image-20240802214335327

利用这个sa账户，关掉防火墙用到 admin/mssql/mssql_exec模块

image-20240802214442483

执行成功，如果不关闭防火墙的话可能导致远程连接连接不上

image-20240802211607237

打开桌面

image-20240803141708768

2、手工

得知sa账户密码后，使用sa登录

image-20240803142915901

获取系统命令，这时候发现，sa拥有system系统权限

image-20240803142857735

关闭防火墙

netsh firewall set opmode mode="disable"

image-20240803143135444

开启3389远程连接

wmic rdtoggle where servername="%computername%" call setallowtsconnections 1

image-20240803143237763

开启3389
成功，在这里虽然没有用户密码，但是可以新建用户，然后远程登录，这里还有另外一种方法

直接在命令行查找key

image-20240803143500156

image-20240803143559877