前言
需要靶场的朋友们,可以在后台私信【pte靶场】,有网安学习群,可以关注后在菜单栏选择学习群加入即可
image-20240803161058086
信息收集
题目要求:给定一个ip,找到3个KEY。
nmap扫描,为了节省时间,这里改了端口,就不使用-p-
全端口扫描了,源靶机在20000+端口
image-20240802171654486
扫描到这个端口进行访问
image-20240802171714131
御剑扫描
image-20240802224605272
有爬虫协议
image-20240802172012107
访问后台首页
image-20240802172122291
看看有没有git泄露,报了个iis报错界面,iis有web.config
image-20240802174707478
看看有没有备份文件,嗯,很好
image-20240802225252858
image-20240802225239655
打开,看到了账号密码
用sqlserver连接不知道为什么应该是系统问题
image-20240802175204516
使用pycharm专业版连接,指定好数据库,主机,账号,端口,密码
❝
后台回复【激活】即可获取 pycharm专业版 激活到2099的激活工具(仅限windows)
image-20240803142350728
image-20240802225519386
有4张表
image-20240802183119334
找到管理员密码
image-20240802183240588
登录就好,找到了第一个key
image-20240802183233222
web漏洞利用
文件上传,a都上传不了,说明是白名单,换思路
image-20240802185222889
这里开始分析
image-20240802185425969
这里我们看到这个管理上传文件,有一个aspx文件
image-20240803134848429
下载下来看看,这不是一句话木马嘛
image-20240802185613171
访查看源码问这个文件
image-20240802185752533
传参试试
image-20240802185820899
蚁剑连接
image-20240802190018754
查看系统信息
image-20240802190737786
查看系统配置,改密码,没有权限
image-20240802193317524
我们返回web目录,有一个key2key.key这个就是第二个key
image-20240802194138113
后渗透
我们打开kali,并配置好桥接模式
image-20240802194919340
生成后门,并把这个payload记好,便签即可
image-20240802202632854
打开msfconsole
,使用这个模块multi/handler
image-20240802195722842
由于生成的木马文件在kali里面,kali没有蚁剑,这时候我们就将后门传到本机,然后由本机传到靶机上,python3开启http服务
image-20240802195853570
本机访问这个kali的IP地址,这时候如果出现页面不可访问,那么大概率是防火墙没有放行8888端口,需要在kaili放行8888端口,命令参考
sudo ufw allow 8888/tcp
image-20240802200340182
下载下来后,用蚁剑传文件到目标靶机上
image-20240802200331201
使用web虚拟shell执行后门
image-20240802200455459
反弹shell成功
image-20240802202847132
获取系统信息,没有权限
image-20240803140126502
提权
1、ms14-058
成功上线后,使用bg维持会话的同时继续执行其他模块,可以看到bg之后会生成一个session,记住这个session,使用search windows/local/ms14_058
搜索模块,use 0
指定payload模块为搜索到的第一个结果,使用ms14_058模块的时候,需要设置这个session为你刚刚上线成功的session,否则会导致执行不成功,run
这里遇到个问题端口配置不正确
image-20240802205040783
该站点存在此漏洞,但是shell会话建立不成功,这个时候就是你的端口配置不对了,必须要是你msfvenom后门使用模块的指定端口,不然都会不成功
image-20240803141100116
重新设置端口为msfvenom设置的端口,网上大多数教程都没有详细介绍,只是走个过场,我自己也试过很多坑,才发现
image-20240803141254098
image-20240802204953825
可以看到,提权成功了,使用hashdump查看用户hash密码
image-20240803141818163
解密hash密码
image-20240803142055694
开启3389远程连接
run post/windows/manage/enable_rdp
image-20240802205721516
我们去网站根目录,还发现有个bak文件,2022-12-12
image-20240802214533785
打开,既然是我们sqlserver数据库超级管理员账户和密码
image-20240802214335327
利用这个sa账户,关掉防火墙用到 admin/mssql/mssql_exec模块
image-20240802214442483
执行成功,如果不关闭防火墙的话可能导致远程连接连接不上
image-20240802211607237
打开桌面
image-20240803141708768
2、手工
得知sa账户密码后,使用sa登录
image-20240803142915901
获取系统命令,这时候发现,sa拥有system系统权限
image-20240803142857735
关闭防火墙
netsh firewall set opmode mode="disable"
image-20240803143135444
开启3389远程连接
wmic rdtoggle where servername="%computername%" call setallowtsconnections 1
image-20240803143237763
开启3389
成功,在这里虽然没有用户密码,但是可以新建用户,然后远程登录,这里还有另外一种方法
直接在命令行查找key
image-20240803143500156
image-20240803143559877
