第一台靶机为2008,第二台靶机为2016

设置一张新网卡,为主机模式。

新增主机模式的网卡,2008的IP为:10.168.72.10

同时设置2016的靶机IP为10.168.72.11

机器配置

2008:test-1 ZmxhZyhvbmVkYXkp.

2016: Administartor Tfb@1234

CMS: 帝国CMS flag(jiayou)

image.png

可以看到首页提示了进行目录扫描,但是扫的不是这里,这是一个陷阱。

扫全端口后会发现存在2550端口,对2550端口进行扫描。

image.png

能扫描到upload目录,访问如下:

image.png

该CMS是一个帝国CMS,根据下载帝国的源码,得到后台的路径。

http://192.168.30.45:2550/upload/e/admin/admin.php

image.png

这里的账号密码就在第一关开始处,如果对网页源代码进行分析可以发现,我写了一个key在HTML里,但是是透明不展示的,需要展示源代码发现。

image.png

base64编码后解出密钥。

image.png

此密钥是帝国的登陆密码。

第二关

image.png

登陆进后台之后,就可以提权了,我这里采用的是帝国的数据库文件配置拿webshell。

参考:https://moshou.org.cn/index.php/archives/771

使用的漏洞为:CVE-2018-18086。

拿到webshell之后,目标机器系统为Windows2008 存在火绒。

使用dump lsass获得下一关的密钥。

image.png

坑点:破解lsass.dmp文件是需要系统内核版本一一对应的。比如在win03系统上获取到lsass.dmp文件要在win03下运行mimikatz破解,当然了在xp下运行mimikatz破解也是可以的,只要内核版本一样就行。

所以目标是2008的,通过导出DUMP的方式去解密也需要找一台2008的机器来做,但是在本地解密则没问题。

image.png

同时ipconfig 发现另外一个网卡。

扫描发现存在另一个网段,对10段进行扫描。

发现10.168.72.11 开启3389.

获得内存密码之后,同时在C盘根目录获得了一个flag文件。

image.png

第三关

利用第二关得到的IP和账号,去扫描端口,发现存在3389,3389连接之。

image.png

得到一个低权限账号,寻找提权的方法。同时发现目标存在卡巴斯基。

这里利用UAC提权,2019-1388。

这里用到UAC提权专用exe:HHUPD.exe,右键以管理员权限打开并显示详细信息

点击显示有关此发布者的证书的信息,点击颁发者此处的超链接

image.png
image.png

待弹出的ie页面加载完成后点击页面这个地方(此时的浏览器以system权限运行)

image.png

位置选择为

C:\Windows\System32\cmd.exe

image.png

成功拿到Administartor用户目录下的flag文件。