CISP-PTE综合靶场解析,msf综合利用MS14-058【附靶场环境】
前言
需要靶场的朋友们,可以在后台私信【pte靶场】,有网安学习群,可以关注后在菜单栏选择学习群加入即可
信息收集
题目要求:给定一个ip,找到3个KEY。
nmap扫描,为了节省时间,这里改了端口,就不使用-p-全端口扫描了,源靶机在20000+端口
扫描到这个端口进行访问
御剑扫描
有爬虫协议
访问后台首页
看看有没有git泄露,报了个iis报错界面,iis有web.config
看看有没有备份文件,嗯,很好
打开,看到了账号密码
用sqlserver连接不知道为什么应该是系统问题
使用pycharm专业版连接,指定好数据库,主机,账号,端口,密码
后台回复【激活】即可获取 pycharm专业版 激活到2099的激活工具(仅限windows)
有4张表
找到管理员密码
登录就好,找到了第一个key
web漏洞利用
文件上传,a都上传不了,说明是白名单,换思路
这里开始分析
这里我们看到这个管理上传文件,有一个aspx文件
下载下来看看,这不是一句话木马嘛
访查看源码问这个文件
传参试试
蚁剑连接
查看系统信息
查看系统配置,改密码,没有权限
我们返回web目录,有一个key2key.key这个就是第二个key
后渗透
我们打开kali,并配置好桥接模式
生成后门,并把这个payload记好,便签即可
打开msfconsole,使用这个模块multi/handler
由于生成的木马文件在kali里面,kali没有蚁剑,这时候我们就将后门传到本机,然后由本机传到靶机上,python3开启http服务
本机访问这个kali的IP地址,这时候如果出现页面不可访问,那么大概率是防火墙没有放行8888端口,需要在kaili放行8888端口,命令参考
sudo ufw allow 8888/tcp
下载下来后,用蚁剑传文件到目标靶机上
使用web虚拟shell执行后门
反弹shell成功
获取系统信息,没有权限
提权
1、ms14-058
成功上线后,使用bg维持会话的同时继续执行其他模块,可以看到bg之后会生成一个session,记住这个session,使用search windows/local/ms14_058 搜索模块,use 0指定payload模块为搜索到的第一个结果,使用ms14_058模块的时候,需要设置这个session为你刚刚上线成功的session,否则会导致执行不成功,run
这里遇到个问题端口配置不正确
该站点存在此漏洞,但是shell会话建立不成功,这个时候就是你的端口配置不对了,必须要是你msfvenom后门使用模块的指定端口,不然都会不成功
重新设置端口为msfvenom设置的端口,网上大多数教程都没有详细介绍,只是走个过场,我自己也试过很多坑,才发现
可以看到,提权成功了,使用hashdump查看用户hash密码
解密hash密码
开启3389远程连接
run post/windows/manage/enable_rdp
我们去网站根目录,还发现有个bak文件,2022-12-12
打开,既然是我们sqlserver数据库超级管理员账户和密码
利用这个sa账户,关掉防火墙用到 admin/mssql/mssql_exec模块
执行成功,如果不关闭防火墙的话可能导致远程连接连接不上
打开桌面
2、手工
得知sa账户密码后,使用sa登录
获取系统命令,这时候发现,sa拥有system系统权限
关闭防火墙
netsh firewall set opmode mode="disable"
开启3389远程连接
wmic rdtoggle where servername="%computername%" call setallowtsconnections 1
开启3389成功,在这里虽然没有用户密码,但是可以新建用户,然后远程登录,这里还有另外一种方法
直接在命令行查找key
