本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
大余安全
一个每日分享渗透小技巧的公众号
大家好,这里是 大余安全 的第 70 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.hackthebox.eu/home/machines/profile/177
靶机难度:中级(4.7/10)
靶机发布日期:2019 年 5 月 18 日
靶机描述:
Netmon is an easy difficulty Windows box with simple enumeration and exploitation. PRTG is running, and an FTP server with anonymous access allows reading of PRTG Network Monitor configuration files. The version of PRTG is vulnerable to RCE which can be exploited to gain a SYSTEM shell.
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的 IP 是 10.10.10.152.....
nmap 查看到开放了很多端口...
主要看 80 端口运行着 PRTG,21 的 FTP 和 SMB 匿名允许访问...
一进来不到一分钟就获得了 user.txt.... 额....
访问 80 的 PRTG,这是 PRTG Network Monitor 的 web 应用程序,用一些默认的账号密码登陆,无法登陆...
思路是找到凭证,我回到 FTP 查看试试...
在目录下发现了配置文件... 下载到本地查看...
在 old.bat 文件中发现了账号密码...
使用 prtgadmin,PrTg@dmin2018 还是无法登陆,我后面又查看了会,没发现信息了,看到 2018 我改成 2019 成功登陆进去了...
PRTG 是一种监视工具,支持一整套传感器,例如 ping,http,snmp 等。服务器本身已添加到设备列表中,因此可以可以向其中添加传感器...
二、提权
方法 1:
在 10.10.10.152 服务器上单击添加传感器,然后选择 EXE/Script sensor...
好像可以写入 shell... 测试看
经过写入 ping 测试,本地看到数据包传输了,说明可以写入 shell 提权...GO
通过 powershell 上传成功了 shell,但是没反弹回来...
cat dayushell.ps1 | iconv -t UTF-16LE | base64 -w0 | xclip -selection clipboard
--由于转换 出的数值过多,利用xcilp进行黏贴
Windows 和其它平台不同,它有悠久的历史包袱,和现代大多数操作系统对 Unicode 支持的共识不同,它的 API 不是基于 UTF-8 而是基于 UTF-16 的... 所以我这边进行了 UTF-16LE 的转换... 延申知识:
[参考](https://blog.codingnow.com/2019/05/windows_utf16.html)
PleaseSubscribe | powershell -enc + 黏贴
利用 powershell 将 sp1 转换的 utf-16 值上传... 成功提权...
方法 2:
可以看到,还是利用注入,在靶机创建了新的用户名和密码...
可以看到通过前面的方法利用 psexec 进行提权成功...
当然这里也可以利用 PRTG 漏洞的 46527.sh 的 EXP 进行创建新的用户名密码...
方法 3:
可以看到还有很多方式可以提权... 这里我就不说了,放在玄学方法 3 里给大家拓展,加油!!!
这台靶机也学到了很多东西,好好复习!!
由于我们已经成功得到 root 权限查看 user.txt 和 root.txt,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
大余安全
一个全栈渗透小技巧的公众号