StartingPoint-Archetype 攻击复盘
知识储备
-
nmap扫描
-
445端口文件共享以及匿名访问
-
mssql 权限、命令执行
-
impacket mssqlclinet的使用
-
winPEASx86运行
-
powershell 命令执行记录
-
impacket-psexec使用
总体思路
通过nmap扫描发现开放端口445(文件共享)、1433(mssql)都端口。445端口引起注意,匿名登录来一把,发现共享目录下有一个prod.dtsConfig文件,文件中发现了
ARCHETYPE\sql_svc和密码 M3g4c0rp123
,根据配置文件内容基本可以判断是mssql的账号。使用impacket工具包 mssqlclient成功连接到mssql,检查用户发现有sysadmin权限,然后开启xp_cmdshell命令执行,开启本机服务,利用xp_cmdshell下载本机上的winPEASx86并再目标服务器上运行,看到存在pwoershell命令历史记录(方案二:在本机编写shell脚本,创建一个用于下载shell的服务,启动一个用于接收反弹shell信息的监听,利用xp_cmdshell下载脚本并执行,此时监听接口正常情况下可以开始对目标机器可以操作)通过查看consoleHost_history.txt发现历史记录中包含了Administrator 密码MEGACORP_4dm1n!!,然后通过impacket-psexec,连接到目标机实现提权,获取到Administrator在Dsectop文件夹下的root.txt
题目答案
Task1
Which TCP port is hosting a database server?
那个TCP端口承载了数据库服务
答案:1433