一 实验简介
Querir是一个中等难度的windows靶机,我们首先发现一个exlce文件,其中包含有宏脚本,我们在脚本中发现了MSSQL服务器信息。通过这个SQL server可以执行系统命令。我们通过进一步的挖掘,可以找到高权限账户密码。最后我们可以使用Powerup查找本地缓存组策略文件中的管理员凭证,从而获得管理员权限。
目标IP:10.129.222.59
二 使用工具
2.1 mssqlcient.py mssql客户端
2.2 responder服务监听程序
2.3 John 密码破解
三信息收集
nmap -sC -sV 10.129.222.59 -T4 Starting Nmap 7.91 ( https://nmap.org ) at 2021-09-16 08:19 EDT Nmap scan report for 10.129.222.59 Host is up (0.31s latency). Not shown: 996 closed ports PORT STATE SERVICE VERSION 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn Microsoft Windows netbios-ssn 445/tcp open microsoft-ds? 1433/tcp open ms-sql-s Microsoft SQL Server 2017 14.00.1000.00; RTM | ms-sql-ntlm-info: | Target_Name: HTB | NetBIOS_Domain_Name: HTB | NetBIOS_Computer_Name: QUERIER | DNS_Domain_Name: HTB.LOCAL | DNS_Computer_Name: QUERIER.HTB.LOC