端口扫描

sudo nmap -sT -sV -sC -O -p80,3389 10.10.40.131 -Pn
Starting Nmap 7.94 ( https://nmap.org ) at 2023-08-18 20:38 CST
Nmap scan report for 10.10.40.131 (10.10.40.131)
Host is up (0.28s latency).

PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 10.0
|_http-server-header: Microsoft-IIS/10.0
|_http-title: IIS Windows Server
| http-methods:
|_ Potentially risky methods: TRACE
3389/tcp open ms-wbt-server Microsoft Terminal Services
| rdp-ntlm-info:
| Target_Name: RETROWEB
| NetBIOS_Domain_Name: RETROWEB
| NetBIOS_Computer_Name: RETROWEB
| DNS_Domain_Name: RetroWeb
| DNS_Computer_Name: RetroWeb
| Product_Version: 10.0.14393
|_ System_Time: 2023-08-18T12:38:21+00:00
| ssl-cert: Subject: commonName=RetroWeb
| Not valid before: 2023-08-17T12:35:56
|_Not valid after: 2024-02-16T12:35:56
|_ssl-date: 2023-08-18T12:38:26+00:00; 0s from scanner time.
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
OS fingerprint not ideal because: Missing a closed TCP port so results incomplete
No OS matches for host
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Web

用gobuster扫了下根目录发现有一个retro目录,再扫目录可以扫出来发现有wordpress。

但是在http://10.10.40.131/retro/index.php/2019/12/09/ready-player-one/ 这篇文章中发现一个关键词parzival。也许是密码。发现配合用户名wade是能够登录的。第一反应是在上传插件那里上传反弹shell,但是也许可以直接RDP远程连接,因为开了3389端口。

xfreerdp /u:wade /p:parzival /v:10.10.40.131 /dynamic-resolution

发现直接能登录!

user.txt

3b99fbdc6d430bfb51c72c651a261927

提权

whoami /all 查看所有权限,貌似没有什么可以利用的,翻一翻文件,在回收站中发现了一个hhupd,但是运行需要管理员密码。

在谷歌浏览器的搜索历史最下方看到一个CVE-2019-1388,搜索看看,好像是用证书来提权。

https://github.com/nobodyatall648/CVE-2019-1388

参考了下这篇文件

手动访问https://www.verisign.com/

但是发现没有提权,好像是房间的原因?

但是WP还给出了用CVE-2017-0213内核提权的方法

版本是windows server 2016,符合。

wmic os get osarchitecture

查看操作系统是32还是64

https://github.com/SecWiki/windows-kernel-exploits/blob/master/CVE-2017-0213/CVE-2017-0213_x64.zip

下载exp,wget上传上去执行之后生成了一个shell之后就提权成功了。

root.txt

7958b569565d7b88d10c6f22d1c4063

碎碎念

这个靶机给我的感觉就是需要非常全面的信息搜集,无论是寻找隐藏目录还是在网页中找到密码(虽然这在实际渗透过程中概率几乎为0),漏了哪一步都将会陷入死路。提权的话对版本还是很重要的,有些可以直接内核提权一把梭还是挺爽的。