ptes2

拿到题目,首先御剑扫描,发现后台地址,还有一个www.zip。

ptes01

疑似源码泄露,下载www.zip。解压发现网站源码,浏览文件发现有一个flag.html。

ptes01

直接访问页面会跳转,直接文本编辑器代开看源码得到第一个flag。

ptes01

然后访问后台,用burp爆破密码。发现密码为password。

ptes01

利用密码登陆后台,发现第二个flag。

ptes01

查看后台,发现在网站配置里面有上传文件设置,还允许上传asp文件

ptes01

那就上传asp木马。如图

ptes02

同样蚁剑连接,访问系统C盘根目录得到第三个flag。

ptes02

ptes02

上面拿到webshell之后首先用虚拟终端看一下系统信息以及所拥有的权限。

ptes02

通过蚁剑的虚拟终端,执行whoami发现仅仅是nt authority\network service权限,因此需要提权。通过systeminfo, netstat -ano等命令查看信息,如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
C:\windows\system32\inetsrv> whoami
nt authority\network service
c:\windows\system32\inetsrv> systeminfo
主机名: HA_WEB2
OS 名称: Microsoft(R) Windows(R) Server 2003, Enterprise Edition
OS 版本: 5.2.3790 Service Pack 2 Build 3790
OS 制造商: Microsoft Corporation
OS 配置: 独立服务器
OS 构件类型: Uniprocessor Free
注册的所有人: Thinkpad
注册的组织:
产品 ID: 69813-640-9722366-45823
初始安装日期: 2016-10-24, 8:57:06
系统启动时间: 0 天 2 小时 1 分 5 秒
系统制造商: VMware, Inc.
系统型号: VMware Virtual Platform
系统类型: X86-based PC
处理器: 安装了 1 个处理器。
[01]: x86 Family 6 Model 142 Stepping 11 GenuineIntel ~1992 Mhz
BIOS 版本: INTEL - 6040000
Windows 目录: C:\WINDOWS
系统目录: C:\WINDOWS\system32
启动设备: \Device\HarddiskVolume1
系统区域设置: zh-cn;中文(中国)
输入法区域设置: zh-cn;中文(中国)
时区: (GMT+08:00) 北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量: 1,023 MB
可用的物理内存: 773 MB
页面文件: 最大值: 1,510 MB
页面文件: 可用: 1,356 MB
页面文件: 使用中: 154 MB
页面文件位置: C:\pagefile.sys
域: WORKGROUP
登录服务器: 暂缺
修补程序: 安装了 1 个修补程序。
[01]: Q147222
网卡: 暂缺
c:\windows\system32\inetsrv> netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 1256
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 692
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 436
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 1752
TCP 127.0.0.1:43958 0.0.0.0:0 LISTENING 1256
TCP 192.168.1.241:80 192.168.1.1:9032 TIME_WAIT 0
TCP 192.168.1.241:80 192.168.1.1:9034 TIME_WAIT 0
TCP 192.168.1.241:80 192.168.1.1:9035 TIME_WAIT 0
TCP 192.168.1.241:80 192.168.1.1:9043 TIME_WAIT 0
TCP 192.168.1.241:80 192.168.1.1:9045 TIME_WAIT 0
TCP 192.168.1.241:80 192.168.1.1:9046 ESTABLISHED 4
TCP 192.168.1.241:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 436
UDP 0.0.0.0:1026 *:* 752
UDP 0.0.0.0:4500 *:* 436
UDP 127.0.0.1:123 *:* 780
UDP 127.0.0.1:1027 *:* 780
UDP 192.168.1.241:123 *:* 780
UDP 192.168.1.241:137 *:* 4
UDP 192.168.1.241:138 *:* 4

发现开启了3389端口,gihub上面找的ms11-046的exp(包含MS11_46_k8.exe和ms11-046.exe两个程序)。
exp地址:https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS11-046
用蚁剑上传失败,换成中国菜刀上传,上传成功:

ptes02

先运行MS11_46_k8.exe,可以看到成功创建了一个k8team/k8team的用户:

ptes02

用远程桌面连接目标服务器。可以使用Windows自带的远程桌面连接,我们使用KALI下的rdesktop命令进行远程连接,如下:

ptes02

进入执行执行第二个exp程序MS11_46_k8.exe,如下:

ptes02

然后通过whoami查看,发现已经是system权限。直接使用dir C:\admin.txt /s /b 命令(该命令用于查找C盘下所有对amdin.txt文件)查找admin.txt文件的位置。

ptes02

然后到相应的位置查看该文件得到flag。

ptes02