【HTB系列】靶機Netmon的***測試

出品｜MS08067實驗室（www.ms08067.com)

本文做者：是大方子（Ms08067實驗室核心成員）

總結和反思：

1. win中執行powershell的遠程代碼下載執行注意雙引號轉義
2. 對powershell代碼先轉爲windows上默認的Unicode編碼方式(UTF-16LE)再轉爲base64執行，防止代碼內容被破壞
3. 學會查CVE漏洞
4. 經過命令行把終端內容保存到剪切板中
5. 運維人員密碼修改的規律，僅僅修改了密碼中的年份，這是設置新密碼經常使用的思路

Kali地址:10.10.15.242
先用nmap對Netmon進行信息收集

發現FTP存在匿名登陸，直接匿名登陸FTP

而後經過get命令下載user.txt，獲得user flag

再去看下80端口

google下這個應用的默認帳號密碼

發現不是默認的帳號密碼

咱們google下的  netmon default configuration file
找到prtg的配置文件位置，嘗試用FTP讀取他的配置文件信息
https://kb.paessler.com/en/topic/463-how-and-where-does-prtg-store-its-data

根據網頁的提示進入相應的目錄

這裏須要注意的時，由於文件名之間包含空格，cd的時候須要用雙引號包括住文件夾的名稱
把配置文件都進行下載

經過MD5計算髮現 PRTG Configuration.dat 和 PRTG Configuration.old內容是同樣的

咱們只須要對PRTG Configuration.dat和PRTG Configuration.0ld.bak進行內容查找便可在PRTG Configuration.old.bak中找帳號和密碼

咱們根據獲得的用戶名和密碼進行登陸發現也是錯誤的

可是根據以前文件的建立年份，以及密碼中帶有2018。能夠進行猜想認爲管理員更改了密碼，新密碼只是把2018改成2019
咱們繼續嘗試登陸

登陸成功

咱們查找下PRTG的漏洞
https://www.cvedetails.com

網上上說能夠經過web控制面板的傳感器通知進行惡意的參數注入達到命令執行的效果

而後咱們用tcpdump偵聽 HTB的網絡接口 並捕獲ICMP數據包

而後去頁面上點擊發現信息查看代碼注入效果

而後Kali上就能看到ICMP數據包

那麼接下來就用Nishang反彈shell

而後編輯下

而後用python 的SimpleHTTPServer模塊開啓HTTP功能，並用nc監聽4444端口

而後靶機遠程下載代碼執行

剛開始我構造的語句是這也的，可是python那邊一直沒有下載的提示

把雙引號進行轉義便可，成功

雖然代碼被下載了了，可是沒有執行成功，可能也是由於腳本代碼內容沒有被轉義致使沒法正常執行

咱們把代碼進行轉義

代碼解釋：
iconv -t UTF-16LE :把內容轉爲UTF-16LE的類型
base64 -w0：轉爲base64格式   -w0 表示不換行
xclip -selection c ：終端輸出保存到剪切板中

而後咱們把轉碼後的代碼進行粘貼執行

就能獲得反彈的shell

後記：
1.可使用CVE-2018-9276漏洞建立後門帳號，而後用psexec.py鏈接獲得shell

 
 
 

轉載請聯繫做者並註明出處！

Ms08067安全實驗室專一於網絡安全知識的普及和培訓。團隊已出版《Web安全***：***測試實戰指南》，《內網安全***：***測試實戰指南》，《Python安全***：***測試實戰指南》，《Java代碼安全審計（入門篇）》等書籍。
團隊公衆號按期分享關於CTF靶場、內網***、APT方面技術乾貨，從零開始、以實戰落地爲主，致力於作一個實用的乾貨分享型公衆號。
官方網站：https://www.ms08067.com/

掃描下方二維碼加入實驗室VIP社區
加入後邀請加入內部VIP羣，內部微信羣永久有效！