对靶机进行信息收集nmap -sC -sV -A 10.10.10.125 得到了下面信息
可以看到目标机器存在MSSQL,SMB服务
正常访问445端口失败,尝试匿名访问445端口成功访问
查看后发现IPC$ or Reports有读取权限
这里Reports不是系统自带的我们先访问Reports目录,命令smbclient -N //10.10.10.125/Reports
下载目录下的excel文件,命令get “Currency Volume Report.xlsm”
由于xlsm是2003版本下的文件,不管有没有宏程序都是xls文件,但是在2007做了区分,XLSM文件XLSX文件都是excel2007文件,但XLSM是含有宏启用,excel中默认情况下不自动启动宏,而这个文件里面有宏,所以我们需要下载OLE工具来分析宏
检测宏命令olevba Currency \ Volume Report.xlsm
发现两个可以的宏
发现MSSQL连接字符
普通登录发现失败,需要开启windows authentication,才能登录
发现无法访问没有权限
使用Responder对服务器上的凭获取
原理,通过LLMNR/NBT-NS欺骗攻击,让MSSQL去访问我们伪造的服务,当MSSQL去执行时就会把它自己的凭证发给我们,我们通过破解它的凭证在返回去登录MSSQL.得到高权限
Responder -l 填的是我们连接HTB的网络接口,可以通过ifconfig查看
把hash内容存到hashcat/hashes/querier.netmv2文件里面
查看hashcat模式代码
可以看到NetNTLMv2模式代码为5600
也可以用john工具破解NETNTLMv2密码
换个凭证再次用mssqlclient.py登录
Help
开启cmd功能
我们使用nishang的反弹shell脚本
nishang项目地址:github.com/sdfzy/nishang
编辑reverse.ps1脚本在底下把ip改成自己的ip,端口改成你nc监听的端口
利用python开启HTTP服务,让靶机下载reverse.ps1文件并执行
如果想要有上键的话用下面的命令
可以在桌面看到user.txt
开始提权
我们使用PowerSploit提权信息收集脚本PowerUP.ps1
项目地址:github.com/PowerShellMafia/PowerSploit
这里看到了服务滥用我们尝试利用一下
john权限不够我们尝试其他提权方式
这里还有一组管理员账号密码尝试一下
提权成功还有一种提权方法
GPP提权
查找策略文件
打印出内容
使用gpp-decrupt脚本base64解码
总结:
1.收集信息要全面
2.用snmp-check检查snmp目标是否开启服务
3.smbmap尝试匿名用户anonymous来枚举目标共享资源,可能会枚举成功
4.使用smbclient连接到smb进行命令操作
5.用ole来分析宏
6.使用mssqlclient.py连接MSSQL
7.mssqlclient.py开启Windows Authentication参数来,保证正常登录
8.使用mssqlclicent.py开启cmd_shell
9.利用Responder窃取服务器的凭证
10.利用|、less、+关键词 快速查找内容
11.使用hashcat破解NetNTLMv2密码
12.使用john破解NetNTLMv2密码
13.利用mssql来执行cmd命令
14.使用PowerShell攻击框架里的lnvoke-PowerShellTcp.ps1脚本反弹shell
15.使用powershell远程下载反弹shell脚本执行
16.使用rlwrap来解决shell中输出不正常问题(删除,方向键是字符问题)
17.使用cmd远程下载提权信息收集脚本PoerUp.ps1
18.使用smbmap(TheNETBIOS connection with the remote host timed out)的时候需要通过-d添加域的名字
19.利用域内获取的账号密码尝试使用psexec进行命令执行
[前提是smb服务开启,并且有权进行读写]
20.利用GPP漏洞得到管理员密码
如果还是不会的话可以问我也可以找我要视频讲解,如果我那里出错了麻烦你帮我指出谢谢
QQ:195744492
