CPTS---Hospital

端口掃描

nmap -A -p- -n -Pn -T4 10.10.11.241

22/tcp    open  ssh               OpenSSH 9.0p1 Ubuntu 1ubuntu8.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 e1:4b:4b:3a:6d:18:66:69:39:f7:aa:74:b3:16:0a:aa (ECDSA)
|_  256 96:c1:dc:d8:97:20:95:e7:01:5f:20:a2:43:61:cb:ca (ED25519)
53/tcp    open  domain            Simple DNS Plus
88/tcp    open  kerberos-sec      Microsoft Windows Kerberos (server time: 2025-08-30 15:38:30Z)
135/tcp   open  msrpc             Microsoft Windows RPC
139/tcp   open  netbios-ssn       Microsoft Windows netbios-ssn
389/tcp   open  ldap              Microsoft Windows Active Directory LDAP (Domain: hospital.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=DC
| Subject Alternative Name: DNS:DC, DNS:DC.hospital.htb
| Not valid before: 2023-09-06T10:49:03
|_Not valid after:  2028-09-06T10:49:03
443/tcp   open  ssl/http          Apache httpd 2.4.56 ((Win64) OpenSSL/1.1.1t PHP/8.0.28)
| tls-alpn: 
|_  http/1.1
|_ssl-date: TLS randomness does not represent time
|_http-title: Hospital Webmail :: Welcome to Hospital Webmail
| ssl-cert: Subject: commonName=localhost
| Not valid before: 2009-11-10T23:48:47
|_Not valid after:  2019-11-08T23:48:47
|_http-server-header: Apache/2.4.56 (Win64) OpenSSL/1.1.1t PHP/8.0.28
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http        Microsoft Windows RPC over HTTP 1.0
636/tcp   open  ldapssl?
| ssl-cert: Subject: commonName=DC
| Subject Alternative Name: DNS:DC, DNS:DC.hospital.htb
| Not valid before: 2023-09-06T10:49:03
|_Not valid after:  2028-09-06T10:49:03
1801/tcp  open  msmq?
2103/tcp  open  msrpc             Microsoft Windows RPC
2105/tcp  open  msrpc             Microsoft Windows RPC
2107/tcp  open  msrpc             Microsoft Windows RPC
2179/tcp  open  vmrdp?
3268/tcp  open  ldap              Microsoft Windows Active Directory LDAP (Domain: hospital.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=DC
| Subject Alternative Name: DNS:DC, DNS:DC.hospital.htb
| Not valid before: 2023-09-06T10:49:03
|_Not valid after:  2028-09-06T10:49:03
3269/tcp  open  globalcatLDAPssl?
| ssl-cert: Subject: commonName=DC
| Subject Alternative Name: DNS:DC, DNS:DC.hospital.htb
| Not valid before: 2023-09-06T10:49:03
|_Not valid after:  2028-09-06T10:49:03
3389/tcp  open  ms-wbt-server     Microsoft Terminal Services
| rdp-ntlm-info: 
|   Target_Name: HOSPITAL
|   NetBIOS_Domain_Name: HOSPITAL
|   NetBIOS_Computer_Name: DC
|   DNS_Domain_Name: hospital.htb
|   DNS_Computer_Name: DC.hospital.htb
|   DNS_Tree_Name: hospital.htb
|   Product_Version: 10.0.17763
|_  System_Time: 2025-08-30T15:39:24+00:00
| ssl-cert: Subject: commonName=DC.hospital.htb
| Not valid before: 2025-08-29T15:22:28
|_Not valid after:  2026-02-28T15:22:28
5985/tcp  open  http              Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
6404/tcp  open  msrpc             Microsoft Windows RPC
6406/tcp  open  ncacn_http        Microsoft Windows RPC over HTTP 1.0
6407/tcp  open  msrpc             Microsoft Windows RPC
6409/tcp  open  msrpc             Microsoft Windows RPC
6621/tcp  open  msrpc             Microsoft Windows RPC
8080/tcp  open  http              Apache httpd 2.4.55 ((Ubuntu))
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
|_http-open-proxy: Proxy might be redirecting requests
|_http-server-header: Apache/2.4.55 (Ubuntu)
| http-title: Login
|_Requested resource was login.php
9389/tcp  open  mc-nmf            .NET Message Framing
38553/tcp open  msrpc             Microsoft Windows RPC

nmap -Pn -n 10.10.11.241 -sU --top-ports=100 --reason

53/udp  open  domain       udp-response ttl 127
88/udp  open  kerberos-sec udp-response ttl 127
123/udp open  ntp          udp-response ttl 127

在這里插入圖片描述
發現一個登陸位置，可以注冊用戶，準備注冊進入看看有什么功能點

發現一個圖片上傳點，有黑名單限制，可以嘗試枚舉繞過

使用ffuf發現上傳目錄

弄個phpinfo上傳

shell.phar成功繞過

發現很多函數無法使用，需要繞過
在這里插入圖片描述
可以使用weevely.py，可以生成混淆過的webshell

連接成功

準備升級shell換成msf meterpreter

uname -a

枚舉內核版本5.19，發現可能存在nftables oob read/write exploit (CVE-2023-35001)

打包上傳

解壓利用成功

枚舉/etc/shadow
在這里插入圖片描述
密碼攻擊

得到drwilliams密碼
去443端口登陸

發現郵件

提到了EPS 格式和GhostScript，GhostScript 是一款開源的 PostScript (PS) 和 PDF 文件解釋器/渲染器。google一下是否有相關exp

該工具可以注入命令
準備使用smb共享完成攻擊
反向shell生成
在這里插入圖片描述
smb共享開啟

eps文件生成準備發送郵件

得到shell
在這里插入圖片描述

提權方法一

qwinsta

查看當前系統上的遠程桌面會話、控制臺會話等信息。
在這里插入圖片描述

 console           drbrown                   1  Active

drbrown用戶在線，查看ps
在這里插入圖片描述
發現瀏覽器正在運行
移動payload

然后進行鍵盤監視和導出可以得到密碼

得到域管理員憑證

evil-winrm進入

提權方法二

通過winpeas發現
我們在該文件夾可以添加文件，準備添加一個webshell
生成
在這里插入圖片描述
上傳連接，執行為system用戶

成功

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/diannao/97492.shtml
繁體地址，請注明出處：http://hk.pswp.cn/diannao/97492.shtml
英文地址，請注明出處：http://en.pswp.cn/diannao/97492.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！