使用Nmap对靶场地址进行端口嗅探,发现对外开放80端口,且为Windows操作系统。
查看80端口Web页面如下,未发现敏感信息。
使用nikto对Web服务进行漏洞扫描,发现其IIS版本为6.0,开启了DAV服务,允许使用危险的HTTP方法。
使用Dirsearch对http://10.129.95.234/进行目录扫描,发现/_vti_bin/等敏感目录,通过上面Nikto漏扫发现是存在Dos攻击漏洞的。
使用Searchsploit对IIS 6.0版本进行漏洞发现,发现存在以下漏洞,因为开启了WebDAV众多方法,着重考虑。
搜索了解“Microsoft IIS 6.0 - WebDAV 'ScStoragePathFromUrl' Remote Buffer Overflow ”漏洞,发现其对应CVE-2017-7269漏洞编号,在MSF有相关利用模块。
在MSF中利用exploit/windows/iis/iis_webdav_scstoragepathfromurl模块,设置参数信息如下:
成功获取到shell,但是发现不具备执行命令权限。
查看进程信息如下:
将shell的进程迁移到具备User权限的进程上,进程迁移成功,使用getsystem进行提权未能提权成功。
使用post/multi/recon/local_exploit_suggester辅助提权模块进行扫描,发现可能存在以下提权方法。
尝试利用exploit/windows/local/ms16_075_reflection提权,未能提权成功。
最终利用exploit/windows/local/ms14_058_track_popup_menu模块提权至System权限。
分别在Lakis和Administrator目录下获取flag文件。
C:\Documents and Settings\Lakis\Desktop>type user.txt
C:\Documents and Settings\Administrator\Desktop>type root.txt