长亭百川云 - 文章详情

CISP-PTE 综合靶场1 图文解析,msf综合利用MS14-058提权漏洞【附靶场环境】

游不动的小鱼丶

76

2024-08-03

前言

需要靶场的朋友们,可以在后台私信【pte靶场】,有网安学习群,可以关注后在菜单栏选择学习群加入即可

image-20240803161058086

信息收集

题目要求:给定一个ip,找到3个KEY。

nmap扫描,为了节省时间,这里改了端口,就不使用-p-
全端口扫描了,源靶机在20000+端口

image-20240802171654486

扫描到这个端口进行访问

image-20240802171714131

御剑扫描

image-20240802224605272

爬虫协议

image-20240802172012107

访问后台首页

image-20240802172122291

看看有没有git泄露,报了个iis报错界面,iis有web.config

image-20240802174707478

看看有没有备份文件,嗯,很好

image-20240802225252858

image-20240802225239655

打开,看到了账号密码

用sqlserver连接不知道为什么应该是系统问题

image-20240802175204516

使用pycharm专业版连接,指定好数据库,主机,账号,端口,密码

后台回复【激活】即可获取 pycharm专业版 激活到2099的激活工具(仅限windows)

image-20240803142350728

image-20240802225519386

有4张表

image-20240802183119334

找到管理员密码

image-20240802183240588

登录就好,找到了第一个key

image-20240802183233222

web漏洞利用

文件上传,a都上传不了,说明是白名单,换思路

image-20240802185222889

这里开始分析

image-20240802185425969

这里我们看到这个管理上传文件,有一个aspx文件

image-20240803134848429

下载下来看看,这不是一句话木马

image-20240802185613171

访查看源码问这个文件

image-20240802185752533

传参试试

image-20240802185820899

蚁剑连接

image-20240802190018754

查看系统信息

image-20240802190737786

查看系统配置,改密码,没有权限

image-20240802193317524

我们返回web目录,有一个key2key.key这个就是第二个key

image-20240802194138113

后渗透

我们打开kali,并配置好桥接模式

image-20240802194919340

生成后门,并把这个payload记好,便签即可

image-20240802202632854

打开msfconsole
,使用这个模块multi/handler

image-20240802195722842

由于生成的木马文件在kali里面,kali没有蚁剑,这时候我们就将后门传到本机,然后由本机传到靶机上,python3开启http服务

image-20240802195853570

本机访问这个kali的IP地址,这时候如果出现页面不可访问,那么大概率是防火墙没有放行8888端口,需要在kaili放行8888端口,命令参考

sudo ufw allow 8888/tcp

image-20240802200340182

下载下来后,用蚁剑传文件到目标靶机上

image-20240802200331201

使用web虚拟shell执行后门

image-20240802200455459

反弹shell成功

image-20240802202847132

获取系统信息,没有权限

image-20240803140126502

提权

1、ms14-058

成功上线后,使用bg维持会话的同时继续执行其他模块,可以看到bg之后会生成一个session,记住这个session,使用search windows/local/ms14_058
搜索模块,use 0
指定payload模块为搜索到的第一个结果,使用ms14_058模块的时候,需要设置这个session为你刚刚上线成功的session,否则会导致执行不成功,run

这里遇到个问题端口配置不正确

image-20240802205040783

该站点存在此漏洞,但是shell会话建立不成功,这个时候就是你的端口配置不对了,必须要是你msfvenom后门使用模块的指定端口,不然都会不成功

image-20240803141100116

重新设置端口为msfvenom设置的端口,网上大多数教程都没有详细介绍,只是走个过场,我自己也试过很多坑,才发现

image-20240803141254098

image-20240802204953825

可以看到,提权成功了,使用hashdump查看用户hash密码

image-20240803141818163

解密hash密码

image-20240803142055694

开启3389远程连接

run post/windows/manage/enable_rdp

image-20240802205721516

我们去网站根目录,还发现有个bak文件,2022-12-12

image-20240802214533785

打开,既然是我们sqlserver数据库超级管理员账户和密码

image-20240802214335327

利用这个sa账户,关掉防火墙用到 admin/mssql/mssql_exec模块

image-20240802214442483

执行成功,如果不关闭防火墙的话可能导致远程连接连接不上

image-20240802211607237

打开桌面

image-20240803141708768

2、手工

得知sa账户密码后,使用sa登录

image-20240803142915901

获取系统命令,这时候发现,sa拥有system系统权限

image-20240803142857735

关闭防火墙

netsh firewall set opmode mode="disable"

image-20240803143135444

开启3389远程连接

wmic rdtoggle where servername="%computername%" call setallowtsconnections 1

image-20240803143237763

开启3389
成功,在这里虽然没有用户密码,但是可以新建用户,然后远程登录,这里还有另外一种方法

直接在命令行查找key

image-20240803143500156

image-20240803143559877

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2