【HTB系列】靶機Netmon的滲透測試

• 2019 年 10 月 11 日
• 筆記

總結和反思： 1. win中執行powershell的遠程代碼下載執行注意雙引號轉義 2. 對powershell代碼先轉為windows上默認的Unicode編碼方式(UTF-16LE)再轉為base64執行，防止代碼內容被破壞 3. 學會查CVE漏洞 4. 通過命令行把終端內容保存到剪切板中 5. 運維人員密碼修改的規律，僅僅修改了密碼中的年份，這是設置新密碼常用的思路

Kali地址:10.10.15.242 先用nmap對Netmon進行信息收集

發現FTP存在匿名登錄，直接匿名登錄FTP

然後通過get命令下載user.txt，得到user flag

再去看下80端口

google下這個應用的默認賬號密碼

發現不是默認的賬號密碼

我們google下的 netmon default configuration file 找到prtg的配置文件位置，嘗試用FTP讀取他的配置文件信息

https://kb.paessler.com/en/topic/463-how-and-where-does-prtg-store-its-data

根據網頁的提示進入相應的目錄

這裡需要注意的時，因為文件名之間包含空格，cd的時候需要用雙引號包括住文件夾的名稱 把配置文件都進行下載

通過MD5計算髮現 PRTG Configuration.dat 和 PRTG Configuration.old內容是一樣的

我們只需要對PRTG Configuration.dat和PRTG Configuration.0ld.bak進行內容查找即可在PRTG Configuration.old.bak中找賬號和密碼

我們根據得到的用戶名和密碼進行登錄發現也是錯誤的

但是根據之前文件的創建年份，以及密碼中帶有2018。可以進行猜測認為管理員更改了密碼，新密碼只是把2018改為2019 我們繼續嘗試登錄

登錄成功

我們查找下PRTG的漏洞 https://www.cvedetails.com

網上上說可以通過web控制面板的傳感器通知進行惡意的參數注入達到命令執行的效果

然後我們用tcpdump偵聽 HTB的網絡接口 並捕獲ICMP數據包

然後去頁面上點擊發現信息查看代碼注入效果

然後Kali上就能看到ICMP數據包

那麼接下來就用Nishang反彈shell

然後編輯下

然後用python 的SimpleHTTPServer模塊開啟HTTP功能，並用nc監聽4444端口

然後靶機遠程下載代碼執行

剛開始我構造的語句是這也的，但是python那邊一直沒有下載的提示

把雙引號進行轉義即可，成功

雖然代碼被下載了了，但是沒有執行成功，可能也是因為腳本代碼內容沒有被轉義導致無法正常執行

我們把代碼進行轉義

代碼解釋： iconv -t UTF-16LE :把內容轉為UTF-16LE的類型 base64 -w0：轉為base64格式 -w0 表示不換行 xclip -selection c ：終端輸出保存到剪切板中

然後我們把轉碼後的代碼進行粘貼執行

就能得到反彈的shell

後記： 1.可以使用CVE-2018-9276漏洞創建後門賬號，然後用psexec.py連接得到shell