dropzone

扫描

用masscan与Nmap工具分别输入以下指令:

1
2
3
4
masscan -p1-65535,U:1-65535 10.10.10.x --rate=1000 -e tun0 -p1-65535,U:1-65535 > ports?
ports=$(cat ports | awk -F " " '{print $4}' | awk -F "/" '{print $1}' | sort -n | tr '\n' ',' | sed 's/,$//')?

nmap -Pn -sV -sC -sU -sT -p$ports 10.10.10.90?

123-008

123-009

Nmap工具的扫描结果表明UDP 69端口(TFTP)正在运行,这是使用netcat验证的。

对感兴趣文件的渗透

(从上述结果看),获得整个系统的读写权限似乎是可行的。由于llisence.rtf文件只有在早于Windows 7的操作系统下才能隐藏,在查看了eula.txt文件后我们可以得知操作系统是 Windows XP Service Pack 3。

123-014

123-015

漏洞利用

恶意MOF文件的创建

根据以前有关Stuxnet Windows Printer Spooler vulnerability (MS10-061)的知识,或通过搜索Windows XP 的写入特权攻击,很可能我们的初始载体需要创建一个恶意MOF文件。

在Xst3nZ的博客里,他着重讲述了如何将恶意MOF文件变成武器(来发挥作用),很值得一读,我把他的博客原文链接放在下面: http://poppopret.blogspot.com/2011/09/playing-with-mof-files-on-windows-for.html

Metasploit Framework 用恶意MOF文件通过与wbemexec.rb 文件混合来当作某些模块的payloads。相关链接:https://github.com/rapid7/metasploit-framework/wiki/How-to-use-WbemExec-for-a-write-privilegeattack-on-Windows

wbemexec.rb 按以下的方式进行修改并被执行来生成一个恶意MOF文件,Dropzone-mof文件下载地址为

123-020 123-021

TFTP传输与shell

TFTP 的 binary(二进制)传输模式是可用的,在MOF文件被上传到 “c:\windows\system32\wbem\mof ”之前,该MOF文件需要先上传到“c:\windows\system32”。

123-026

一个shell就马上被SYSTEM接收到。

123-027

NTFS数据流

在查看了电脑的管理者账户的桌面后,来源于 SysInternals Suite 的 streams.exe 文件被上传,user及root flag就可以得到了。

123-032