Tryhackme - Retro

1 扫描

80进网页搜集信息，3389是远程控制端口
可以xfreerdp /u:wade /v:10.10.140.239然后远程控制桌面。但是要知道密码。或者用别的方法登进去。

C:\root> masscan -p1-65535,U:1-65535 10.10.140.239 --rate=1000 -e tun0

Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2020-05-28 00:41:40 GMT
 -- forced options: -sS -Pn -n --randomize-hosts -v --send-eth
Initiating SYN Stealth Scan
Scanning 1 hosts [131070 ports/host]
Discovered open port 3389/tcp on 10.10.140.239                                 
Discovered open port 80/tcp on 10.10.140.239                                   
C:\root> nmap -A -p80,3389 10.10.140.239                                     
Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-27 22:20 EDT
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.60 seconds
C:\root> nmap -A -p80,3389 10.10.140.239 -Pn
Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-27 22:20 EDT
Nmap scan report for 10.10.140.239
Host is up (0.26s latency).

PORT     STATE SERVICE       VERSION
80/tcp   open  http          Microsoft IIS httpd 10.0
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: IIS Windows Server
3389/tcp open  ms-wbt-server Microsoft Terminal Services
| rdp-ntlm-info: 
|   Target_Name: RETROWEB
|   NetBIOS_Domain_Name: RETROWEB
|   NetBIOS_Computer_Name: RETROWEB
|   DNS_Domain_Name: RetroWeb
|   DNS_Computer_Name: RetroWeb
|   Product_Version: 10.0.14393
|_  System_Time: 2020-05-28T02:21:15+00:00
| ssl-cert: Subject: commonName=RetroWeb
| Not valid before: 2020-05-27T00:36:09
|_Not valid after:  2020-11-26T00:36:09
|_ssl-date: 2020-05-28T02:21:22+00:00; 0s from scanner time.
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

2 信息搜集

gobuster dir -u http://10.10.140.239 -w /root/directory-list-2.3-medium.txt -t 64

看到retro目录，进去。是个博客样的

点击作者名，出来好多文章，

在右边找到一个藏密码的网页。 wade on Ready Player one

3 远程桌面3389 & uac提权失败

知道密码了，用先前说的那个命令登进去。
本机打开自己的http服务，然后通过靶机的浏览器连接本机的http服务，准备传东西或弹shell或扫脚本之类的。
但是打开靶机的谷歌浏览器网页后，就看到保存这个收藏夹，cve-2019这个。
点开是个uac绕过漏洞。会不会这个靶机主人就是想打这个补丁？？

网上搜这个漏洞https://github.com/jas502n/CVE-2019-1388
按提示操作。

下载那个exe，然后以管理员运行

一路点击 show more details

show information

点击veisign。。。这个

最后这里就卡住了。点不开浏览器。看到网上说也会有这样的失败。我看官网上的writeup说这里要开启ie和谷歌浏览器，才能运行。但我没弄成功。

按理论，网页打开后，把网页保存到system32目录里。就能提权了。
虽然这个没弄成功，但不代表以后做别的渗透测试这个套路用不上。留在这篇文章里，以后碰到类似情况再参考。先学会这个方法。

4 提权

试了很多种方法都没成功
最后看老外说用这个https://github.com/SecWiki/windows-kernel-exploits/tree/master/CVE-2017-0213
不过他们也没说是怎样发现，从而用这个的。唉逻辑上就不清楚。但是先用着吧。这个系统版本是10.0.14393 N/A Build 14393，windows exploit suggester那个python读不出来这个版本，让我印象深刻。下次再遇到这个版本，可能就考虑用这个cve漏洞提权。

靶机里没有联网。
所以从本机里下载这个exe 64位版，然后放在自己的http，打开自己的http服务python -m SimpleHTTPServer 80
从靶机里的浏览器输入自己本机的网址，就可以看到了。
下载下来，直接运行。
提权成功

官网还有用msf从wp拿shell，然后MS16-075提权，但我 用MS16-075却成功不了，搞不懂什么情况。你们可以试试。。。