Querier


对靶机进行信息收集nmap -sC -sV -A 10.10.10.125 得到了下面信息

img

可以看到目标机器存在MSSQL,SMB服务

正常访问445端口失败,尝试匿名访问445端口成功访问

img

查看后发现IPC$ or Reports有读取权限

img

这里Reports不是系统自带的我们先访问Reports目录,命令smbclient -N //10.10.10.125/Reports

img

下载目录下的excel文件,命令get “Currency Volume Report.xlsm”

img

由于xlsm是2003版本下的文件,不管有没有宏程序都是xls文件,但是在2007做了区分,XLSM文件XLSX文件都是excel2007文件,但XLSM是含有宏启用,excel中默认情况下不自动启动宏,而这个文件里面有宏,所以我们需要下载OLE工具来分析宏

img

img

检测宏命令olevba Currency \ Volume Report.xlsm

img

发现两个可以的宏

img

发现MSSQL连接字符

img

普通登录发现失败,需要开启windows authentication,才能登录

img

发现无法访问没有权限

img

使用Responder对服务器上的凭获取

原理,通过LLMNR/NBT-NS欺骗攻击,让MSSQL去访问我们伪造的服务,当MSSQL去执行时就会把它自己的凭证发给我们,我们通过破解它的凭证在返回去登录MSSQL.得到高权限

Responder -l 填的是我们连接HTB的网络接口,可以通过ifconfig查看

img

img

把hash内容存到hashcat/hashes/querier.netmv2文件里面

img

查看hashcat模式代码

img

img

img

可以看到NetNTLMv2模式代码为5600

img

img

也可以用john工具破解NETNTLMv2密码

img

img

换个凭证再次用mssqlclient.py登录

img

Help

img

开启cmd功能

img

我们使用nishang的反弹shell脚本

nishang项目地址:github.com/sdfzy/nishang

img

编辑reverse.ps1脚本在底下把ip改成自己的ip,端口改成你nc监听的端口

img

利用python开启HTTP服务,让靶机下载reverse.ps1文件并执行

img

如果想要有上键的话用下面的命令

img

可以在桌面看到user.txt

img

img

开始提权

我们使用PowerSploit提权信息收集脚本PowerUP.ps1

项目地址:github.com/PowerShellMafia/PowerSploit

img

img

img

img

这里看到了服务滥用我们尝试利用一下

img

img

img

john权限不够我们尝试其他提权方式

img

这里还有一组管理员账号密码尝试一下

img

img

img

提权成功还有一种提权方法

GPP提权

查找策略文件

img

打印出内容

img

使用gpp-decrupt脚本base64解码

img

总结:

1.收集信息要全面

2.用snmp-check检查snmp目标是否开启服务

3.smbmap尝试匿名用户anonymous来枚举目标共享资源,可能会枚举成功

4.使用smbclient连接到smb进行命令操作

5.用ole来分析宏

6.使用mssqlclient.py连接MSSQL

7.mssqlclient.py开启Windows Authentication参数来,保证正常登录

8.使用mssqlclicent.py开启cmd_shell

9.利用Responder窃取服务器的凭证

10.利用|、less、+关键词 快速查找内容

11.使用hashcat破解NetNTLMv2密码

12.使用john破解NetNTLMv2密码

13.利用mssql来执行cmd命令

14.使用PowerShell攻击框架里的lnvoke-PowerShellTcp.ps1脚本反弹shell

15.使用powershell远程下载反弹shell脚本执行

16.使用rlwrap来解决shell中输出不正常问题(删除,方向键是字符问题)

17.使用cmd远程下载提权信息收集脚本PoerUp.ps1

18.使用smbmap(TheNETBIOS connection with the remote host timed out)的时候需要通过-d添加域的名字

19.利用域内获取的账号密码尝试使用psexec进行命令执行

[前提是smb服务开启,并且有权进行读写]

20.利用GPP漏洞得到管理员密码

如果还是不会的话可以问我也可以找我要视频讲解,如果我那里出错了麻烦你帮我指出谢谢

QQ:195744492


文章作者: Pikachu
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Pikachu !
作者: Pikachu
  目录