PG Craft靶机复现 宏macro攻击

一. 端口扫描

只有80端口开启

二. 网页查看

目录扫描一下：
dirsearch -u http://192.168.131.169/

发现
http://192.168.131.169/upload.php

网站书使用xampp搭建，暴露了路径
还发现上传文件
http://192.168.131.169/uploads/

发现一个上传点，上传自己的简历，随便上传一个文件

显示必须要ODT文件，google一下利用方法
使用这个：

准备监听


拿到hash，无法拿到密码
密码攻击失败

三. Macro宏攻击

使用LibreOffice软件


点击New

生成reshell 程序

使用宏命令

也可以分两次，一次下载一次执行，保存
然后设置打开启动



成功拿到shell

四.提权

发现当前用户没有特殊权限可以利用
上传枚举winPEAS


发现还有一个apache用户，web服务器用户可能会配置高权限，尝试拿到该用户的shell
通过之前发现web路径

查看权限，发现：
BUILTIN\Users:(I)(OI)(CI)(RX)：这行显示了 Users 用户组的权限，(RX) 代表“读取和执行”权限，意味着该组的成员可以读取文件并执行它们，但不能修改或删除文件。
BUILTIN\Users:(I)(CI)(AD)：这行是 Users 组的另一个权限，(AD) 代表“附加数据”权限，意味着该组成员可以向文件中添加数据，但不能修改已存在的数据。
BUILTIN\Users:(I)(CI)(WD)：这行表示“写入数据”权限，允许 Users 组的成员向目录中的文件写入数据。

Users 组具有读取和执行权限，此外还可以向文件添加数据和写入数据，尝试放入一个php shell文件
使用：
上传到根目录之后访问
http://192.168.162.169/reshell.php

成功拿到shell
枚举权限

发现用SeImpersonate权限

使用printspoofer成功提权