ptes2

拿到题目，首先御剑扫描，发现后台地址，还有一个www.zip。

疑似源码泄露，下载www.zip。解压发现网站源码，浏览文件发现有一个flag.html。

直接访问页面会跳转，直接文本编辑器代开看源码得到第一个flag。

然后访问后台，用burp爆破密码。发现密码为password。

利用密码登陆后台，发现第二个flag。

查看后台，发现在网站配置里面有上传文件设置，还允许上传asp文件

那就上传asp木马。如图

同样蚁剑连接，访问系统C盘根目录得到第三个flag。

上面拿到webshell之后首先用虚拟终端看一下系统信息以及所拥有的权限。

通过蚁剑的虚拟终端，执行whoami发现仅仅是nt authority\network service权限，因此需要提权。通过systeminfo， netstat -ano等命令查看信息，如下：

C:\windows\system32\inetsrv> whoami
nt authority\network service
c:\windows\system32\inetsrv> systeminfo
主机名:           HA_WEB2
OS 名称:          Microsoft(R) Windows(R) Server 2003, Enterprise Edition
OS 版本:          5.2.3790 Service Pack 2 Build 3790
OS 制造商:        Microsoft Corporation
OS 配置:          独立服务器
OS 构件类型:      Uniprocessor Free
注册的所有人:     Thinkpad
注册的组织:
产品 ID:          69813-640-9722366-45823
初始安装日期:     2016-10-24, 8:57:06
系统启动时间:     0 天 2 小时 1 分 5 秒
系统制造商:       VMware, Inc.
系统型号:         VMware Virtual Platform
系统类型:         X86-based PC
处理器:           安装了 1 个处理器。
                  [01]: x86 Family 6 Model 142 Stepping 11 GenuineIntel ~1992 Mhz
BIOS 版本:        INTEL  - 6040000
Windows 目录:     C:\WINDOWS
系统目录:         C:\WINDOWS\system32
启动设备:         \Device\HarddiskVolume1
系统区域设置:     zh-cn;中文(中国)
输入法区域设置:   zh-cn;中文(中国)
时区:             (GMT+08:00) 北京，重庆，香港特别行政区，乌鲁木齐
物理内存总量:     1,023 MB
可用的物理内存:   773 MB
页面文件: 最大值: 1,510 MB
页面文件: 可用:   1,356 MB
页面文件: 使用中: 154 MB
页面文件位置:     C:\pagefile.sys
域:               WORKGROUP
登录服务器:       暂缺
修补程序:         安装了 1 个修补程序。
                  [01]: Q147222
网卡:             暂缺
c:\windows\system32\inetsrv> netstat -ano
Active Connections
  Proto  Local Address          Foreign Address        State           PID
  TCP    0.0.0.0:21             0.0.0.0:0              LISTENING       1256
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       692
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING       436
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       1752
  TCP    127.0.0.1:43958        0.0.0.0:0              LISTENING       1256
  TCP    192.168.1.241:80       192.168.1.1:9032       TIME_WAIT       0
  TCP    192.168.1.241:80       192.168.1.1:9034       TIME_WAIT       0
  TCP    192.168.1.241:80       192.168.1.1:9035       TIME_WAIT       0
  TCP    192.168.1.241:80       192.168.1.1:9043       TIME_WAIT       0
  TCP    192.168.1.241:80       192.168.1.1:9045       TIME_WAIT       0
  TCP    192.168.1.241:80       192.168.1.1:9046       ESTABLISHED     4
  TCP    192.168.1.241:139      0.0.0.0:0              LISTENING       4
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:500            *:*                                    436
  UDP    0.0.0.0:1026           *:*                                    752
  UDP    0.0.0.0:4500           *:*                                    436
  UDP    127.0.0.1:123          *:*                                    780
  UDP    127.0.0.1:1027         *:*                                    780
  UDP    192.168.1.241:123      *:*                                    780
  UDP    192.168.1.241:137      *:*                                    4
  UDP    192.168.1.241:138      *:*                                    4

发现开启了3389端口，gihub上面找的ms11-046的exp（包含MS11_46_k8.exe和ms11-046.exe两个程序）。
exp地址：https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS11-046
用蚁剑上传失败，换成中国菜刀上传，上传成功：

先运行MS11_46_k8.exe，可以看到成功创建了一个k8team/k8team的用户：

用远程桌面连接目标服务器。可以使用Windows自带的远程桌面连接，我们使用KALI下的rdesktop命令进行远程连接，如下：

进入执行执行第二个exp程序MS11_46_k8.exe，如下：

然后通过whoami查看，发现已经是system权限。直接使用dir C:\admin.txt /s /b 命令（该命令用于查找C盘下所有对amdin.txt文件）查找admin.txt文件的位置。

然后到相应的位置查看该文件得到flag。