password
status
date
icon
category
tags
slug
summary
0x00 信息搜集
autorecon 一把梭
0x01 port-445
看到 445 跑了一波 smb 漏洞,啥都没跑出来。
0x02 port-80
80有个搜索框,固定跳转到 error 界面。暴露了一波版本信息。
爆破目录也没什么收获,实在没办法了可以回来试试爆破参数。
0x03 port-50000
爆破出来一个目录,里面有 jenkins。
这样看 80 端口的标题应该是对路径的提示?还好字典里有这个奇怪的路径,不然真不好联想到。
从右下角可以得知版本为 2.87
试下jenkins未授权执行命令的 攻击方式,可以正常执行。
println "whoami".execute().text
可以执行 powershell 命令,那就反弹个 shell 出来好了
在线生成个 powershell 反弹命令
虽然在 Administrator 目录下,但该账号并没有访问其他管理员目录的权限。
0x04 提权-SweetPotato
首先看下特殊权限
whoami /priv有
SeImpersonatePrivilege 权限,可以使用SweetPotato提权。SweetPotato
uknowsec • Updated Nov 29, 2023
我这里还下载了一个 nc.exe 进行反弹shell,用msf生成或者调用powershell反弹应该也可以。
不过在管理员桌面,我们会看到一句
使用
dir /R 可以看到隐藏的 root.txt,隐藏方法为NTFS交换数据流写入文件。more < hm.txt:root.txt0x04 提权-漏洞提权
使用提权辅助
可知系统存在CVE-2021-1732等漏洞进行提权
0x05 提权-keeppass
粗略翻了下 kohsuke 用户的文件夹(也可以用 dir /s 如果你不嫌弃结果太多的话) 发现了 keepass 的数据库文件
传输到本地,有三种传输方法
- 用 nc 传输
- 用 smb 传输
- 复制到 web 目录后下载
推荐使用 smb 传输,不过我之前已经使用过 nc 了,这里就试试 nc 传输
nc 传输就是坑,传输完了也不会自动停,得手动断开。
很快就跑出来了,知道了 keepass 的密码,我们可以安装一个 keepass 来打开数据库,也可以选择使用在线版
很坑的是这里面的密码全部都不对
但是他还给了一份hash,windows hash由 LM Hash 和 NTLM Hash 构成,前面的LM Hash解出来是空,后面的解不出来。
LM Hash全名为“LAN Manager Hash”,其本质是DES加密,尽管加密强度不佳,但是为了保证系统的兼容性,Windows从未移除过该加密,只是将LM Hash禁用了(从Windows Vista和Windows Server 2008版本开始,Windows操作系统默认禁用LM Hash),LM Hash明文密码被限制在14位以内,超过后和禁用后都会为空,所以抓取的LM Hash通常为"aad3b435b51404eeaad3b435b51404ee"。
尝试了下,HASH传递攻击可行。
- 作者:fatekey
- 链接:https://blog.fatekey.icu/article/Jeeves
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。