目录

  1. 1. 前言
  2. 2. Task1
  3. 3. Task2
  4. 4. Task3
  5. 5. Task4
  6. 6. Task5
  7. 7. Task6
  8. 8. Task7

LOADING

第一次加载文章图片可能会花费较长时间

要不挂个梯子试试?(x

加载过慢请开启缓存 浏览器默认开启

HTB Archetype

2023/10/3 渗透 HackTheBox
  |     |   总文章阅读量:

前言

第二层 Archetype

Task1

Which TCP port is hosting a database server?
哪个 TCP 端口托管数据库服务器?

A:1433

nmap -A 10.129.127.157

nmap开扫

image-20231004154532672


Task2

What is the name of the non-Administrative share available over SMB?
SMB 上可用的非管理共享的名称是什么?

A:backups

上面看到139端口和445端口就知道是SMB了

那么从SMB下手使用-L命令列出共享文件夹

smbclient -L 10.129.127.157

image-20231004155124286

带美元符号的是管理员权限


Task3

What is the password identified in the file on the SMB share?
SMB 共享上的文件中标识的密码是什么?

A:M3g4c0rp123

smb连接backups

smbclient \\\\10.129.127.157\\backups

image-20231004155626330

发现dtsConfig文件,这个文件是SSIS的配置文件,SSIS即SQL Server Integration Services,先get下来

image-20231004155800262

里面包括了SQL服务的账户密码,可以看到

ID:ARCHETYPE/sql_svc

Password:M3g4c0rp123


Task4

What script from Impacket collection can be used in order to establish an authenticated connection to a Microsoft SQL Server?
可以使用 Impacket 集合中的哪些脚本来建立与Microsoft SQL Server 的经过身份验证的连接?

A:mssqlclient.py

kali上自带的mssql客户端impacket-mssqlclient可以用来连接靶机上的SQL服务

结合上面nmap的扫描结果发现smb的系统是windows

image-20231004160603709

用上面得到的账户连接靶机并用Windows身份验证

impacket-mssqlclient ARCHETYPE/sql_svc@10.129.127.157 -windows-auth 

寄,连接的时候报错[-] [('SSL routines', '', 'legacy sigalg disallowed or unsupported')],弄了半天还没解决


Task5

What extended stored procedure of Microsoft SQL Server can be used in order to spawn a Windows command shell?
可以使用Microsoft SQL Server的哪些扩展存储过程来生成Windows命令外壳?

A:``


Task6

What script can be used in order to search possible paths to escalate privileges on Windows hosts?
可以使用什么脚本来搜索可能路径以提升 Windows 主机上的权限?

A:``


Task7

What file contains the administrator's password?
什么文件包含管理员的密码?

A:``