HTB-Archetype(winPEAS枚举工具，mssql xp_cmdshell)

前言

• 各位师傅好，我是qmx_07，今天为大家讲解Archetype靶机
  

渗透过程

信息搜集

• 服务器开放了smb协议，sql server 数据库协议

smb共享目录

• 通过smb共享目录发现prod.dtsConfig文件，信息泄露
• 用户名：ARCHETYPE\sql_svc;(window用户凭据)
• 密码：M3g4c0rp123;

Sql server登录 及 开启 xp_cmdshell服务

• mssqlclient 用来连接sql server数据库，存放在impacket/example中
• -windows-auth 使用windows用户凭据登录
  

SELECT IS_SRVROLEMEMBER('sysadmin');

• IS_SRVROLEMEMBER 判断角色成员，用来查看权限
• 如果是返回1，不是返回0

EXEC sp_configure 'show advanced options', 1; //允许显示高级选项
RECONFIGURE; // 刷新配置
EXEC sp_configure 'xp_cmdshell', 1; //开启xp_cmdshell
RECONFIGURE;//刷新配置

• 因为我们是sysadmin组成员，可以使用命令，所以我们开启xp_cmdshell 来连接远程会话
• 验证是否开启成功:
  
• 看到有正确回显，就是开启了

通过xp_cmdshell 反弹会话

• 思路：通过sql server提供的xp_cmshell可执行命令，下载远程的nc工具，利用-e参数 将管理权 移交给 kali服务器
  

• nc下载地址：https://eternallybored.org/misc/netcat/
  

• 本地开启http服务器，监听443端口等待回连
  

• wget 下载内容

• outfile 输出文件
  

• 下载http服务的nc工具，移交管理权
  

• 成功连接会话
  
  用户flag:3e7b102e78218e935bf3f4951fec21a3

winPEAS工具

• 介绍： winPEAS 会在Windows 系统中搜索所有可能的权限提升路径，包括基本系统信息（如主机名、操作系统版本及架构、用户和组信息等）；服务信息（正在运行的服务及其权限、存在漏洞的服务路径等）；注册表信息（不安全的注册表项、自启动注册表键等）；网络连接信息（活动的网络连接详情）等

• 下载地址：https://github.com/peass-ng/PEASS-ng/releases
  

• 将winPEAS下载至本机
  
  

• 用户名：administrator

• 密码：MEGACORP_4dm1n!!

• 可以看到administrator的账号相关凭据

使用psexec.py 登录，查看flag

flag:b91ccec3305e98240082d4474b848528

答案

• 1.数据库在哪个TCP端口？

1433

• 2.smb管理共享目录是？

backups

• 3.在smb找到的密码是?

M3g4c0rp123

• 4.Impacket工具集合中哪个工具可以建立sql server会话？

mssqlclient.py

• 5.sql server中哪个拓展存储可以使用windows shell命令？

xp_cmdshell

• 6.可以使用什么脚本来搜索windows权限提升？

winPEAS

• 7.哪个文件包含管理员密码？

ConsoleHost_history.txt

• 8.用户凭证是什么？

3e7b102e78218e935bf3f4951fec21a3

• 9.最终flag是什么？

b91ccec3305e98240082d4474b848528

总结

• 我们介绍了impacket中用于sql server连接工具 mssqlcilent，以及winPEAS枚举权限提升工具，以及powershell中下载文件，nc转移管理权，mssql 命令函数 xp_cmdshell 及开放命令