【HTB系列】靶機Netmon的滲透測試

• 2019 年 10 月 11 日
• 筆記

總結和反思： 1. win中執行powershell的遠程程式碼下載執行注意雙引號轉義 2. 對powershell程式碼先轉為windows上默認的Unicode編碼方式(UTF-16LE)再轉為base64執行，防止程式碼內容被破壞 3. 學會查CVE漏洞 4. 通過命令行把終端內容保存到剪切板中 5. 運維人員密碼修改的規律，僅僅修改了密碼中的年份，這是設置新密碼常用的思路

Kali地址:10.10.15.242 先用nmap對Netmon進行資訊收集

發現FTP存在匿名登錄，直接匿名登錄FTP

然後通過get命令下載user.txt，得到user flag

再去看下80埠

google下這個應用的默認帳號密碼

發現不是默認的帳號密碼

我們google下的 netmon default configuration file 找到prtg的配置文件位置，嘗試用FTP讀取他的配置文件資訊

https://kb.paessler.com/en/topic/463-how-and-where-does-prtg-store-its-data

根據網頁的提示進入相應的目錄

這裡需要注意的時，因為文件名之間包含空格，cd的時候需要用雙引號包括住文件夾的名稱 把配置文件都進行下載

通過MD5計算髮現 PRTG Configuration.dat 和 PRTG Configuration.old內容是一樣的

我們只需要對PRTG Configuration.dat和PRTG Configuration.0ld.bak進行內容查找即可在PRTG Configuration.old.bak中找帳號和密碼

我們根據得到的用戶名和密碼進行登錄發現也是錯誤的

但是根據之前文件的創建年份，以及密碼中帶有2018。可以進行猜測認為管理員更改了密碼，新密碼只是把2018改為2019 我們繼續嘗試登錄

登錄成功

我們查找下PRTG的漏洞 https://www.cvedetails.com

網上上說可以通過web控制面板的感測器通知進行惡意的參數注入達到命令執行的效果

然後我們用tcpdump偵聽 HTB的網路介面 並捕獲ICMP數據包

然後去頁面上點擊發現資訊查看程式碼注入效果

然後Kali上就能看到ICMP數據包

那麼接下來就用Nishang反彈shell

然後編輯下

然後用python 的SimpleHTTPServer模組開啟HTTP功能，並用nc監聽4444埠

然後靶機遠程下載程式碼執行

剛開始我構造的語句是這也的，但是python那邊一直沒有下載的提示

把雙引號進行轉義即可，成功

雖然程式碼被下載了了，但是沒有執行成功，可能也是因為腳本程式碼內容沒有被轉義導致無法正常執行

我們把程式碼進行轉義

程式碼解釋： iconv -t UTF-16LE :把內容轉為UTF-16LE的類型 base64 -w0：轉為base64格式 -w0 表示不換行 xclip -selection c ：終端輸出保存到剪切板中

然後我們把轉碼後的程式碼進行粘貼執行

就能得到反彈的shell

後記： 1.可以使用CVE-2018-9276漏洞創建後門帳號，然後用psexec.py連接得到shell