PTE考试靶机的渗透以及mssql提权

靶机攻防
信息收集
端口扫描

靶机IP：192.168.0.100

一.主机发现
使用nmap进行IP端口扫描

扫描发现开启了：
1443：sql server服务
27689：http服务

进去发现是个文件上传系统

1.目录扫描
使用御剑目录扫描，也可以使用burp进行一个后台目录爆破
（1）状态码200的目录全访问了一遍发现一个robots.txt的目录可以访问，和一个web.config.bak的一个配置文件可以下载

（2）访问robots.txt文件目录，访问/robost.txt得到了这样几个目录

（3）访问web.config.bak目录是个配置文件，下载打开发现里面有数据库账号密码信息

2.连接数据库
（1）上面发现的数据库连接信息使用Navicat Premium数据库连接工具连接

（2）在数据库里面找了一圈发现了管理员的账号和密码admin/asdadwn_d2112

登录WEB
(1)用获取到的账号密码登录web系统

我们获取了第一个key

GetShell
（1）在页面翻了一圈，发现了一个文件上传功能，上传一个aspx的Webshell

（2）制作一个aspx的免杀马，密码abcd

提示发现不允许上传，应该是有限制

在管理文件上传模块看到有一处提示:’文件名过长会被系统截取包括系统时间在内的前32位字符作为文件名，请上传的文件名称不要过长，为您带来的不便，敬请谅解’

根据上面的提示我们的文件名称修改一下进行上传
修改后的文件名：12345678.aspx.jpg

在进入管理文件上传模块看到我们的文件名刚好保留到12345678.aspx。截断了.jpg

之后我们复制图片地址进行连接webshell，提示我们返回数据为空

检查一下发现我们文件上传位置不对，突然想起之前用御剑扫描出来的一个robots.txt文件里面有上传文件的路径

然后修改一下路径

在用蚁剑连接webshell，提示成功连接

进入根目录发现key2

权限提升
（1）通过Webshell查看当前用户的权限发现是普通用户权限

访问C盘下Administrator文件夹内容进行访问发现拒绝访问，需要权限提升

之后通过浏览web目录发现历史web.config.bak

进一步获取sa的账号密码信息，为我们权限提升提供了最大的帮助

之后使用Navicate进行连接

（2）之后通过执行SQL语句来查看权限，可以看到已然是system权限了，而这也是因为SQLServer默认是以system权限运行的，外加上sa权限导致我们可以直接获取到system权限：
use master;
exec master..xp_cmdshell ‘whoami’;

关闭防火墙
下面我们要做的就是关闭防火墙开RDP了，在这里为了执行系统命令我们首先开启XP_cmdshell：

use master;
exec sp_configure ‘show advanced options’,1;
reconfigure;

exec sp_configure ‘xp_cmdshell’,1;
reconfigure;

之后关闭防火墙：
EXEC master.dbo.xp_cmdshell ‘netsh firewall set opmode disable’

开启RDP远程桌面协议
然后就是开启RDP进行远程链接了，命令如下：

exec master.dbo.xp_cmdshell ‘REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal” “Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f’

为了实现远程连接，我们或者添加一个用户，或者直接把管理员用户administrator的密码修改

远程连接

在远程桌面上拿到key3