HTB:hackthebox
我第一次玩这里的靶机的时候,里面有很多可以操作的东西,花钱的地方少,还附带通过流程教学。现在,可以玩的东西很少了,免费的都很难,花钱的地方很多。不禁感慨,错过了最佳的学习时间,门槛已经抬高了。就像那个女孩儿,在她心里没人的时候,我没遇见她,遇见她时,我已然成为了别人的影子。向前,不一定能抓住她,向后,一定会失去她。思绪真乱。
按照规矩,现役靶机不能发出来,退役靶机有攻略的,可以去翻。而我写在这里,只是一种记录,而各位如果踩坑,也可以按照我的流程尝试。
信息收集:
开放445端口,存在客户端与服务器的文件沟通,尝试使用smbclient连接,看看能不能获取什么文件
参数-L 列出所有文件,-N尝试空密码。
一一尝试,看看哪里有能用的东西。尝试之后,发现在backups里。访问,空密码进入,列出文件
将prod.dtsConfig文件下载到本地。
查看下载的文件:
这看起来像一个数据库配置文件,记录下关键信息:User ID=ARCHETYPE\sql_svc;Password=M3g4c0rp123;
然后通过mssqlclient.py连接数据库:
查看能够使用的命令:
提升权限,能够使用xp_cmdshell
接下来,使用以下文件(ip和端口改为自己的,命名shell.ps1)反向连接系统
打开80端口,等待靶机下载并运行反向shell
监听443端口
靶机成功下载文件
端口监听结果
成功获得普通用户权限
------------恢复内容开始------------
------------恢复内容开始------------
HTB:hackthebox
我第一次玩这里的靶机的时候,里面有很多可以操作的东西,花钱的地方少,还附带通过流程教学。现在,可以玩的东西很少了,免费的都很难,花钱的地方很多。不禁感慨,错过了最佳的学习时间,门槛已经抬高了。就像那个女孩儿,在她心里没人的时候,我没遇见她,遇见她时,我已然成为了别人的影子。向前,不一定能抓住她,向后,一定会失去她。思绪真乱。
按照规矩,现役靶机不能发出来,退役靶机有攻略的,可以去翻。而我写在这里,只是一种记录,而各位如果踩坑,也可以按照我的流程尝试。
信息收集:
开放445端口,存在客户端与服务器的文件沟通,尝试使用smbclient连接,看看能不能获取什么文件
参数-L 列出所有文件,-N尝试空密码。
一一尝试,看看哪里有能用的东西。尝试之后,发现在backups里。访问,空密码进入,列出文件
将prod.dtsConfig文件下载到本地。
查看下载的文件:
这看起来像一个数据库配置文件,记录下关键信息:User ID=ARCHETYPE\sql_svc;Password=M3g4c0rp123;
然后通过mssqlclient.py连接数据库:
查看能够使用的命令:
提升权限,能够使用xp_cmdshell
接下来,使用以下文件(ip和端口改为自己的,命名shell.ps1)反向连接系统
打开80端口,等待靶机下载并运行反向shell
监听443端口
使用靶机下载文件
靶机成功下载文件
端口监听结果
成功获得普通用户权限(吐槽一下,这个windows命令行是真的呆,没有类似find的指令,网上找的试不通,手动找了半天)
提权:
查看操作命令日志
关键:administrator MEGACORP_4dm1n!!
这表明备份驱动器已使用本地管理员凭据进行映射。我们可以用 Impacket 的 psexec.py 来获得特权shell。
之前使用psexec时,上传应用程序失败,后来,想起ssh失败的教训,将vpn隧道mtu改为1200, 成功上传,拿到系统权限。