今晚的心情不是很好啊,就把之前做白帽学院靶场的笔记发到博客上来吧,当时做题时也是苦于网上找资料找不到,现在做完了把拿flag的历程与大家分享一下。
访问靶场网址,是一盘中国象棋,没赢。。输了之后,依然给出flag01。并提示扫描web根目录。
然后使用Pker软件扫网站目录,扫到一些文件,发现123.asp文件比较可疑。
在浏览器中打开后发现是一个webshell。并提示出密码字典的位置,意思很明显了,是要让我们加载字典爆破这个webshell的密码。
这里我使用小残编写的shell暴力破解工具,加载从网站根目录下载的字典baopozidian.rar,因为密码比较靠后,花了一段时间,最后成功破解密码ponkylai790824。
于是也拿到了flag02的值。flag02: 210194c475687be6
然后上传我自己习惯使用的大马,查看可写目录,发现C:\RECYCLER目录可写。那么就可以往上上传cmd.exe和pr.exe提权了。
首先查看目标计算机的用户名列表。
添加king用户,密码为998。并成功提权。
查看管理员用户是否添加成功。发现已经是管理员用户了。
这里啰嗦一下pr.exe提权的原理,我也是从网上看到的,这里就粘贴一波。。
提权原理是根据Windows跟踪注册表项的ACL权限提升漏洞blablabla~
Windows管理规范(WMI)提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程,同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源。WMI提供程序主机进程在某些情况下会持有SYSTEM令牌,如果攻击者可以以 NetworkService或LocalService帐号访问计算机,攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程。一旦找到了SYSTEM令牌,就可以获得SYSTEM权限的提升。
好了,废话就这么多。接着使用添加的帐号密码登录到远程主机172.16.1.209,查看flag03。flag03: 8e8850243be8079a
第四关的提示让我去扫描内网。先查看下本机的IP。
在这台远程主机上搜索“scan”关键字,让我找到了portscan扫描工具。当然,如果靶机上没有扫描工具的话,你也可以自己使用远程桌面映射自己的磁盘到远程主机上,再复制本地的工具上去。
好,开始扫描内网,发现一台192.168.2.2的机器,开启80端口。
然后,就在浏览器上访问2.2这台机器,使用这里远程主机自带的Pker扫一下,最终在robots.txt文件里找到flag04。flag04: 649ffa2b3ff8c02e
第五关提示在编辑器主目录下找flag05。根据上面编辑器目录的提示,发现flag05: 6c3abca69fa097b8
好了,第一部分就先做到这里。这markdown编辑器用着还是不太习惯啊,呵呵。