0x00:靶機介紹
這次的靶機是Retro,房間連結https://tryhackme。com/room/retro 雖然難度為Hard但是如果能擴大利用條件的話其實該靶機還是比較簡單的。
0x01:資訊收集
一開始還是先資訊收集。這次不知道為啥autorecon聯動的nmap居然掃不出80端口出來。
但是瀏覽器訪問IP地址可以正常執行
由於此次gobuster執行不了只能改用dirsearch載入medium字典可以跑出有一個/retro目錄(IP是昨天的,但內容基本上一樣不會有太大差別)
繼續訪問頁面正常回顯。
0x02:Wordpress站點滲透
這裡了你可以選擇繼續對/retro目錄掃描,也可以用whatweb看看該網頁是不是個CMS。這次可以看到是個經典的wordpress站點。
先用wpscan基礎掃描掃到一個wade使用者。
命令:wpscan –url ip -eu
由於/retro的文字資訊比較多可以考慮用cewl扒下來看看有沒有敏感詞語是跟密碼有關的。
然後啟動爆破跑出一個有效的密碼出來。
命令:wpscan –url ip -U wade -P shouji。txt
0x03:密碼重用,遠端登陸
這裡呢按照正常的思路是到後臺上傳反彈shell的,但是呢在資訊收集的時候3389 RDP是開放狀態可以考慮用剛才得到的賬號密碼資訊嘗試登入。
利用xfreerdp成功登入。
0x04:提權
一開始傳了個PowerUp。ps1進去,但發現沒啥提權點,只能轉換了思路看看系統資訊看看有沒有沒打的補丁或其它漏洞利用
接下來用線上提權輔助https://i。hacking8。com/tiquan 把系統資訊複製進去點查詢,優先考慮有payload的,這裡我選擇CVE-2017-0213
透過CVE編號搜到一個Github指令碼
https://github。com/WindowsExploits/Exploits/tree/master/CVE-2017-0213
下載到kali以後用smbserver開啟共享模式
在xfreerdp遠端桌面上使用copy大法把檔案複製過來。
執行方法很簡單直接執行CVE-2017-0213_x64。exe就可以自動許可權升級了。
