OSCP Algernon Write-wp

一、靶场详情

靶场名称：

Algernon

靶场地址：

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界，获取管理员旗帜：

SmarterMail 远程代码执行漏洞 –> system 权限 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描：

sudo nmap -p- 192.168.104.65 --min-rate=2000

PORT      STATE SERVICE
21/tcp    open  ftp
80/tcp    open  http
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
5040/tcp  open  unknown
7680/tcp  open  pando-pub
9998/tcp  open  distinct32
17001/tcp open  unknown
49664/tcp open  unknown
49665/tcp open  unknown
49666/tcp open  unknown
49667/tcp open  unknown
49668/tcp open  unknown
49669/tcp open  unknown

UDP 端口扫描：未发现有价值信息。

TCP 服务信息搜集：

sudo nmap -p21,80,135,139,445,5040,7680,9998,17001,49664,49665,49666,49667,49668,49669 -sCV 192.168.104.65

PORT      STATE  SERVICE       VERSION
21/tcp    open   ftp           Microsoft ftpd
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| 04-29-20  10:31PM       <DIR>          ImapRetrieval
| 09-01-25  04:06AM       <DIR>          Logs
| 04-29-20  10:31PM       <DIR>          PopRetrieval
|_04-29-20  10:32PM       <DIR>          Spool
| ftp-syst:
|_  SYST: Windows_NT
80/tcp    open   http          Microsoft IIS httpd 10.0
|_http-title: IIS Windows
|_http-server-header: Microsoft-IIS/10.0
| http-methods:
|_  Potentially risky methods: TRACE
135/tcp   open   msrpc         Microsoft Windows RPC
139/tcp   open   netbios-ssn   Microsoft Windows netbios-ssn
445/tcp   open   microsoft-ds?
5040/tcp  open   unknown
7680/tcp  closed pando-pub
9998/tcp  open   http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
| uptime-agent-info: HTTP/1.1 400 Bad Request\x0D
| Content-Type: text/html; charset=us-ascii\x0D
| Server: Microsoft-HTTPAPI/2.0\x0D
| Date: Mon, 01 Sep 2025 11:13:00 GMT\x0D
| Connection: close\x0D
| Content-Length: 326\x0D
| \x0D
| <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN""http://www.w3.org/TR/html4/strict.dtd">\x0D
| <HTML><HEAD><TITLE>Bad Request</TITLE>\x0D
| <META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>\x0D
| <BODY><h2>Bad Request - Invalid Verb</h2>\x0D
| <hr><p>HTTP Error 400. The request verb is invalid.</p>\x0D
|_</BODY></HTML>\x0D
|_http-server-header: Microsoft-IIS/10.0
| http-title: Site doesn't have a title (text/html; charset=utf-8).
|_Requested resource was /interface/root
17001/tcp open   remoting      MS .NET Remoting services
49664/tcp open   msrpc         Microsoft Windows RPC
49665/tcp open   msrpc         Microsoft Windows RPC
49666/tcp open   msrpc         Microsoft Windows RPC
49667/tcp open   msrpc         Microsoft Windows RPC
49668/tcp open   msrpc         Microsoft Windows RPC
49669/tcp open   msrpc         Microsoft Windows RPC
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

系统为 Windows 环境，开放有 HTTP、FTP、SMB 和一些 Windows 默认服务。

3.2 渗透测试突破边界

3.2.1 SmarterMail 远程代码执行漏洞（CVE-2019-7214）

靶机 FTP 可进行匿名访问，除了一些日志文件没有发现其余有价值信息，先搁浅。SMB 服务没有有效凭证也无法进行匿名访问。

排查靶机 HTTP 服务时，发现 HTTP 9998 端口部署了 SmarterMail 应用，尝试查看页面源码、目录枚举，未获取到应用版本信息。

使用 searchsploit 检索应用已知漏洞，发现 smartermail 历史存在多个漏洞，其中文件上传和远程代码执行更值得关注。

searchsploit smartermail

复制远程代码执行漏洞脚本至当前路径，修改脚本中目标 IP 和反弹 shell IP、端口，在 kali 使用 nc 提前监听 80 端口，执行脚本成功获取到系统 system 权限。

searchsploit -m windows/remote/49216.py

rlwrap nc -lvnp 80
python3 49216.py

3.2.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流，欢迎点击「关于我」，通过页面中的微信公众号、邮箱或 Discord 与我联系；若您发现文章中存在任何错误或不足之处，也非常欢迎通过以上方式指出，在此一并致以衷心的感谢。 😊🫡

最后，祝您生活愉快！🌞✨