出品|MS08067實驗室(www.ms08067.com)
本文作者:大方子(Ms08067實驗室核心成員)
總結與反思:
1.收集資訊要全面
2.用snmp-check檢查snmp目標是否開啟服務
3.smbmap嘗試匿名用戶anonymous來列舉目標的共享資源,可能會列舉成功
4.使用smbclient連接到smb進行命令操作
5.使用ole來分析宏
6.使用mssqlclient.py來連接MSSQL
7.mssqlclient.py開啟Windows Authentication引數來,保證正常登錄
8.使用mssqlclient.py開啟cmd_shell
9.利用Responder竊取服務器的憑證
10.利用 | 、less 、+關鍵詞 快速查找內容
11.使用hashcat破解NetNTLMv2密碼
12.使用john破解NetNTLMv2密碼
13.利用mssql來執行cmd命令
14.使用PowerShell攻擊框架里的Invoke-PowerShellTcp.ps1腳本反彈shell
15.使用powershell遠程下載反彈shell腳本執行
16.使用 rlwrap 來解決shell中輸出不正常問題(洗掉,方向鍵是字符問題)
17.使用cmd遠程下載提權資訊收集腳本PowerUp.ps1
18.使用smbmap(TheNETBIOS connection with the remote host timedout)的時候需要通過-d添加域的名字
19.利用域內獲取的賬號密碼嘗試使用psexec進行命令執行
【前提smb服務開啟,并且有權進行讀寫】
20. 利用GPP漏洞得到管理員密碼
靶機資訊
KALI地址:10.10.12.115
先用Nmap進行資訊收集
掃描結果如下:
可以看到目標機器存在MSSQL,SMB服務
我們在檢查下snmp服務是否存在
發現snmp服務不存在
那么我們現在根據nmap的結果來進行測驗,
我們用smbmap來嘗試列舉下目標的資源,發現訪問被禁止
那么我們嘗試下匿名的用戶去訪問,發現資源被列舉出來了
這里的Reports不是系統自帶的,所以我們對Reports進行資訊挖掘
那么我們用smbclient來訪問Reports目錄,并執行命令操作
發現目錄里面有一個 excel檔案,我們把他下載回來
“xls是2003版本下的檔案,不管有沒有宏程式的話都是xls檔案,
2007做了區分,XLSM檔案XLSX檔案都是excel2007檔案,但前者是含有宏啟用,Excel中默認情況下不自動啟用宏,
Excel不會執行宏XLSX檔案,即使它們包含宏代碼,因此含有宏的檔案可以保存為xlsm檔案”
這個“Currency Volume Report.xlsm”是存在宏的,這里我們用下OLE工具套件來分析office宏
用apt安裝ole套件
然后我們用olevba去分析我們剛剛下載來的XLSM檔案
我們可以發現里面的MSSQL連接字串
然后我們使用mssqlclient.py進行登錄,如果你沒這個py腳本可以從下面的專案地址獲得專案地址:https://github.com/sdfzy/impacket
把mssqlclient.py拷貝出來
進行登錄,發現登錄失敗
我們需要開啟Windows Authentication,才能正常登錄
然后我們訪問下cmd,發現被禁止
因為我們的權限不夠,但是我們可以用Responder對服務器上的憑證進行竊取
關于Responder的原理和竊取可以看這個文章:
https://blog.csdn.net/nzjdsds/article/details/94314995
原理是,通過LLMNR/NBT-NS欺騙攻擊,讓MSSQL去訪問我們偽造的服務,當MSSQL去執行時就會把它自己的憑證發給我們,我們通過破解它的憑證在回傳去登錄MSSQL,得到高權限
Responder地址:
https://github.com/sdfzy/Responder
我們開啟Responder,-I填的是我們連接HTB的網路介面,可以通過ifconfig查
然后我們去MSSQL執行命令
之后我們的Responder就能竊取到憑證
我們把hash內容另存為Querier.NetNTLMv2
然后我們用hashcat去破解下
首先我們查下NetNTLMv2的模式代碼是多少
進入后 / + NetNTLM 進行搜索
可以看到NetNTLMv2模式代碼為5600
然后我們就可以開始破解
也可以用john來破解NetNTLMv2密碼
然后我們用獲取到的憑證再次用mssqlclient.py登錄
help下
開啟cmd功能
來測驗查看cmd是否真的開啟
命令是正常執行的
我們使用nishang的反彈shell腳本
nishang專案地址:https://github.com/sdfzy/nishang
然后我們編輯下reverse.ps1腳本在底下加上,IP寫上你自己的IP,埠寫上你nc監聽的埠
然后還是老樣子用python開啟簡單HTTP服務,讓靶機把我們的reverse.ps1下載并執行
然后我們就得到一個shell,這里我是用了rlwrap來解決shell中(洗掉鍵,方向鍵等)輸出不正常問題
然后我們就能得到user的flag
接下來就是開始提權
這里我們使用PowerSploit里面的提權資訊收集腳本PowerUp.ps1
專案地址:https://github.com/PowerShellMafia/PowerSploit
一樣把腳本拷貝過來,并讓靶機下載執行
這里可能需要等幾分鐘出結果
這里我們看到一個服務濫用
我們嘗試利用下
發現john確實加進來了,我們利用smbmap利用下,這里需要增加-d引數寫上域的名字
然后發現這個john的權限也不夠
我們換一個提權方式
這里還有一組管理員的賬號和密碼我們再次進行嘗試,成功!
提權成功,我們已經拿到system權限了,這里就不演示cat root flag了
這里還有一種是GPP漏洞的利用,原理跟上面是差不多的,
只是需要自己手動破解密碼
GPP提權
我們可以通過找到組策略里面的管理員密碼并破解出來
Groups.xml
我們仍然需要解密密碼,這可以通過以下方式輕松完成gpp-decrypt:
這里看到這里的密碼也是我們上面獲取到的密碼一樣
MyUnclesAreMarioAndLuigi!!1!
?
?
?
轉載請聯系作者并注明出處!
Ms08067安全實驗室專注于網路安全知識的普及和培訓,團隊已出版《Web安全攻防:滲透測驗實戰指南》,《內網安全攻防:滲透測驗實戰指南》,《Python安全攻防:滲透測驗實戰指南》,《Java代碼安全審計(入門篇)》等書籍,
團隊公眾號定期分享關于CTF靶場、內網滲透、APT方面技術干貨,從零開始、以實戰落地為主,致力于做一個實用的干貨分享型公眾號,
官方網站:https://www.ms08067.com/
掃描下方二維碼加入實驗室VIP社區
加入后邀請加入內部VIP群,內部微信群永久有效!
?
?
?
?
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/265062.html
標籤:其他
下一篇:記憶體與作業系統記憶體管理