很少做Windows的渗透测试，今天误打误撞点开一个，然后就打算试一试
Target IP: 10.10.10.82

信息搜集

首先还是标准的nmap扫描
nmap -sC -sV -A 10.10.10.82 -v

结果如下

nmap.png

发现1521端口开放
尝试在网上搜索tns listener漏洞，很多tns远程数据投毒漏洞的分析，metasploit中正好有关于这个漏洞的扫描功能

tnspoison_checker.png

发现漏洞存在

利用metasploit对1521端口进行SID爆破，爆破到两个SID

sid_brute.png

对XE这个SID进行用户名枚举，得到了用户名和密码scott/tiger

oracle_login.png

Getshell

接入数据库

navicat连接oracle

navicat.png

连接成功，但是发现权限非常低
网上搜了好久后，发现可以用sysdba的角色来进行连接，连接后发现权限很高
这时候第一反应是利用数据库进行系统命令执行，尝试利用java，但是java并没有安装

java not installed.png

重寻思路

此时卡在这里不知道如何是好...于是嫖了一下别人的walkthrough，结果令人尴尬的是，我发现我的nmap连80端口都没有扫出来，而且我也没尝试访问80端口。在尴尬地发现了此事后，又会产生新的攻击思路了：

利用数据库上传webshell文件，再通过80端口的IIS服务获取shell

ODAT攻击

大佬们都用了ODAT这款工具，可以对oracle直接进行三种形式的攻击：

1. You have an Oracle database listening remotely and want to find valid SIDs and credentials in order to connect to the database
2. You have a valid Oracle account on a database and want to escalate your privileges to become DBA or SYSDBA
3. You have a Oracle account and you want to execute system commands (e.g. reverse shell) in order to move forward on the operating system hosting the database

利用kali自带aspx shell 脚本传入服务器

uploadshell.png

执行指令读取user.txt

user.png

读取root.txt

readrootflag.png

总结

针对Windows的渗透了解的还是太少了，只有之前在CISP-PTE备考的过程中有所了解，但这还远远不够。
这也是第一次接触oracle，总的来说很多细节还是没有搞的很清楚。
和其他walkthrough比起来，信息收集方面的工作做得还是太少了，主要是耐心上面的缺失，这一点一定要改善，因为信息收集实在太重要了。
第一次写post，给心态带来了一定的改变，以前更急于求成一点，这次本着对文章负责的态度也要增加很多自己的思考，争取以后能够坚持下去。