【HTB系列】靶机Netmon的***测试

出品｜MS08067实验室（www.ms08067.com)

本文做者：是大方子（Ms08067实验室核心成员）

总结和反思：

1. win中执行powershell的远程代码下载执行注意双引号转义
2. 对powershell代码先转为windows上默认的Unicode编码方式(UTF-16LE)再转为base64执行，防止代码内容被破坏
3. 学会查CVE漏洞
4. 经过命令行把终端内容保存到剪切板中
5. 运维人员密码修改的规律，仅仅修改了密码中的年份，这是设置新密码经常使用的思路

Kali地址:10.10.15.242
先用nmap对Netmon进行信息收集

发现FTP存在匿名登陆，直接匿名登陆FTP

而后经过get命令下载user.txt，获得user flag

再去看下80端口

google下这个应用的默认帐号密码

发现不是默认的帐号密码

咱们google下的  netmon default configuration file
找到prtg的配置文件位置，尝试用FTP读取他的配置文件信息
https://kb.paessler.com/en/topic/463-how-and-where-does-prtg-store-its-data

根据网页的提示进入相应的目录

这里须要注意的时，由于文件名之间包含空格，cd的时候须要用双引号包括住文件夹的名称
把配置文件都进行下载

经过MD5计算发现 PRTG Configuration.dat 和 PRTG Configuration.old内容是同样的

咱们只须要对PRTG Configuration.dat和PRTG Configuration.0ld.bak进行内容查找便可在PRTG Configuration.old.bak中找帐号和密码

咱们根据获得的用户名和密码进行登陆发现也是错误的

可是根据以前文件的建立年份，以及密码中带有2018。能够进行猜想认为管理员更改了密码，新密码只是把2018改成2019
咱们继续尝试登陆

登陆成功

咱们查找下PRTG的漏洞
https://www.cvedetails.com

网上上说能够经过web控制面板的传感器通知进行恶意的参数注入达到命令执行的效果

而后咱们用tcpdump侦听 HTB的网络接口 并捕获ICMP数据包

而后去页面上点击发现信息查看代码注入效果

而后Kali上就能看到ICMP数据包

那么接下来就用Nishang反弹shell

而后编辑下

而后用python 的SimpleHTTPServer模块开启HTTP功能，并用nc监听4444端口

而后靶机远程下载代码执行

刚开始我构造的语句是这也的，可是python那边一直没有下载的提示

把双引号进行转义便可，成功

虽然代码被下载了了，可是没有执行成功，可能也是由于脚本代码内容没有被转义致使没法正常执行

咱们把代码进行转义

代码解释：
iconv -t UTF-16LE :把内容转为UTF-16LE的类型
base64 -w0：转为base64格式   -w0 表示不换行
xclip -selection c ：终端输出保存到剪切板中

而后咱们把转码后的代码进行粘贴执行

就能获得反弹的shell

后记：
1.可使用CVE-2018-9276漏洞建立后门帐号，而后用psexec.py链接获得shell

 
 
 

转载请联系做者并注明出处！

Ms08067安全实验室专一于网络安全知识的普及和培训。团队已出版《Web安全***：***测试实战指南》，《内网安全***：***测试实战指南》，《Python安全***：***测试实战指南》，《Java代码安全审计（入门篇）》等书籍。
团队公众号按期分享关于CTF靶场、内网***、APT方面技术干货，从零开始、以实战落地为主，致力于作一个实用的干货分享型公众号。
官方网站：https://www.ms08067.com/

扫描下方二维码加入实验室VIP社区
加入后邀请加入内部VIP群，内部微信群永久有效！