Shield Video Walkthrough！😀

个人博客地址

---

Via今天回来继续 HackTheBox 系列。有事耽误了两天。前两天发现 Vaccine 这个机器老是会出现网络问题，我就跳过不做了。那么今天就是 Shield。

目标机器在IP地址 10.10.10.29。

在这里插入图片描述

Recon

Nmap

image

只有 80 和 3306 端口开着，一个网站，加一个 mysql server。

攻击者可以继续跑一些漏洞脚本，进一步发掘线索。

在这里插入图片描述
并没有很多有用的信息，漏洞脚本发现了这个服务器上跑着一个 wordpress。

The Website

在这里插入图片描述

查看源码。

在这里插入图片描述

没有线索，背景是一张图片，点击之后跳转到微软的网站。

下一步就需要进一步扫描一下隐藏目录。

Dirbuster

在这里插入图片描述
在这里插入图片描述
很快就发现服务器上跑着一个 wordpress，确认了 nmap 的发现。

• 线索：发现有 wordpress
• 操作：wpscan 查看一下目标

在这里插入图片描述
第一个出现的是 xmlrpc，查一下是否有可用的漏洞。

扩展阅读

XMLRPC 可能成为目标漏洞，看一下这篇文章吧。

What is XMLRPC

在这里插入图片描述
这是剩下的扫描结果，包括 wordpress 的版本是 5.2.1，有一个用户是 admin。

攻击者可以用 wpscan 尝试暴力破解 admin 的密码，但是效率太低。

在这里插入图片描述
并且扫描 wordpress 版本信息也没有太好的漏洞可以使用。

之前说过，这几个机器都在 StartPoint 里面，前面机器获取到的登录密匙，后面都能用。在 Vaccine 中，攻击者已经获取到了一对登录信息，admin:P@s5w0rd!，可以用来登录到后台。

在这里插入图片描述

• 线索：有 wordpress 后台的用户名和密码，而且用户是 admin
• 思路：搜索一下 pentest wordpress with admin password

扩展阅读
Exploit-DB 关于 Wordpress的攻击指南
另一篇关于 Wordpress 渗透测试的文章

第二篇文章中，攻击着看到了可以使用的工具 - wp_admin_shell_upload，是 metasploit 的一个模块。

Exploitation

在这里插入图片描述
在这里插入图片描述
获得了 meterpreter shell。

Foothold

攻击者查看了一下用户信息和系统信息，以及有什么进程正在系统上运行。

• 线索：得到了 meterpreter shell
• 思路：因为是 wordpress，首先到根目录看一下 wp-config.php，这里面有数据库的设置

果然获取到了数据库的用户名和密码。

那么，所有用户的数据就已经泄露了。

攻击者现在要获取系统管理员权限。

攻击者首先尝试用 shell 命令获取一个 cmd shell，但是这个 shell 很快就会无响应。同样的，用 execute 也不行。

扩展阅读
Offensive-Security 关于 Meterpreter Shell 的好文
Meterpreter Shell with netcat

• 线索：无法升级到系统的交互 shell，但是现在已经上传了 nc.exe
• 思路：查一下怎么使用 nc.exe 建立一个 reverse shell
• 操作：搜索 pentest nc backdoor shell，找到了用 nc 在 windows 下建立 reverse shell 的方法

扩展阅读
NetCat Cheetsheet
NetCat Cook Book

这里要好好讲一下 meterpreter shell 的 execute 命令。

如果要让 meterpreter shell 执行一个 .exe 的程序，是没有任何交互的，只会返回一个进程号。并且，无法直接像这样传递参数给要执行的命令。

在这里插入图片描述
看一下 execute 命令的帮助文档，其中有一个 -a 选项，是用来给要执行的命令传递参数的。 在这里插入图片描述
那么攻击者就可以用 nc.exe 与本地建立连接。

Privilege Escalation

在这里插入图片描述
攻击者已经进入了系统，当前用户身份是 wordpress，现在要做的是怎么提权到 system。

扩展阅读
搜索了一下 pentest windows privilege escalation，一下这些工具都是很常见的
winPEAs
PowerUp

攻击者尝试过 winPEAs，但是失败了。

还有什么信息是遗漏的呢？

攻击者再看了一下系统的信息。

在这里插入图片描述
系统是 windows server 2016 build 14393。

searchspliot 没有很好的结果。

在这里插入图片描述
Google's not good either. 都在讲 Eternal Blue，但是目标机器没有开放 445 端口，所以都不适用。 在这里插入图片描述
local_exploits_suggester 也没有可用的信息。

查了一下 walkthrough，是一个叫做 Rotten Potato 的攻击。

不知道后面的逻辑是怎么来的，权当学习了。

接下来的提权步骤，就是上传 Juicy Potato（Rotten Potato的变种），然后用 nc 连接本地，给本地一个 system powershell 来完成最后的操作。

详情见顶部视频。