出品|MS08067實驗室(www.ms08067.com)
本文作者:是大方子(Ms08067實驗室核心成員)
總結和反思:
- win中執行powershell的遠程代碼下載執行注意雙引號轉義
- 對powershell代碼先轉為windows上默認的Unicode編碼方式(UTF-16LE)再轉為base64執行,防止代碼內容被破壞
- 學會查CVE漏洞
- 通過命令列把終端內容保存到剪切板中
- 運維人員密碼修改的規律,僅僅修改了密碼中的年份,這是設定新密碼常用的思路
Kali地址:10.10.15.242
先用nmap對Netmon進行資訊收集
發現FTP存在匿名登錄,直接匿名登錄FTP
然后通過get命令下載user.txt,得到user flag
再去看下80埠
google下這個應用的默認賬號密碼
發現不是默認的賬號密碼
我們google下的 netmon default configuration file
找到prtg的組態檔位置,嘗試用FTP讀取他的組態檔資訊
https://kb.paessler.com/en/topic/463-how-and-where-does-prtg-store-its-data
根據網頁的提示進入相應的目錄
這里需要注意的時,因為檔案名之間包含空格,cd的時候需要用雙引號包括住檔案夾的名稱
把組態檔都進行下載
通過MD5計算發現 PRTG Configuration.dat 和 PRTG Configuration.old內容是一樣的
我們只需要對PRTG Configuration.dat和PRTG Configuration.0ld.bak進行內容查找即可在PRTG Configuration.old.bak中找賬號和密碼
我們根據得到的用戶名和密碼進行登錄發現也是錯誤的
但是根據之前檔案的創建年份,以及密碼中帶有2018,可以進行猜測認為管理員更改了密碼,新密碼只是把2018改為2019
我們繼續嘗試登錄
登錄成功
我們查找下PRTG的漏洞
https://www.cvedetails.com
網上上說可以通過web控制面板的傳感器通知進行惡意的引數注入達到命令執行的效果
然后我們用tcpdump偵聽 HTB的網路介面 并捕獲ICMP資料包
然后去頁面上點擊發現資訊查看代碼注入效果
然后Kali上就能看到ICMP資料包
那么接下來就用Nishang反彈shell
然后編輯下
然后用python 的SimpleHTTPServer模塊開啟HTTP功能,并用nc監聽4444埠
然后靶機遠程下載代碼執行
剛開始我構造的陳述句是這也的,但是python那邊一直沒有下載的提示
把雙引號進行轉義即可,成功
雖然代碼被下載了了,但是沒有執行成功,可能也是因為腳本代碼內容沒有被轉義導致無法正常執行
我們把代碼進行轉義
代碼解釋:
iconv -t UTF-16LE :把內容轉為UTF-16LE的型別
base64 -w0:轉為base64格式 -w0 表示不換行
xclip -selection c :終端輸出保存到剪切板中
然后我們把轉碼后的代碼進行粘貼執行
就能得到反彈的shell
后記:
1.可以使用CVE-2018-9276漏洞創建后門賬號,然后用psexec.py連接得到shell
?
?
?
轉載請聯系作者并注明出處!
Ms08067安全實驗室專注于網路安全知識的普及和培訓,團隊已出版《Web安全攻防:滲透測驗實戰指南》,《內網安全攻防:滲透測驗實戰指南》,《Python安全攻防:滲透測驗實戰指南》,《Java代碼安全審計(入門篇)》等書籍,
團隊公眾號定期分享關于CTF靶場、內網滲透、APT方面技術干貨,從零開始、以實戰落地為主,致力于做一個實用的干貨分享型公眾號,
官方網站:https://www.ms08067.com/
掃描下方二維碼加入實驗室VIP社區
加入后邀請加入內部VIP群,內部微信群永久有效!
?
?
?
?
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/265308.html
標籤:其他
上一篇:尋找中小型游戲研發合作團隊