内网拓扑

扫描下方二维码关注公众号，回复 靶场 获取靶场

内网浸透

这里由于是1904的系统，尝试运用bypassuac停止提权，原理的话就是有一些系统程序是会直接获取管理员权限同时不弹出UAC弹窗，这类程序被称为白名单程序。 这些程序具有autoElevate属性的值为True，会在启动时就静默提升权限。

那么我们要寻觅的uac程序需求契合以下几个请求：

1. 程序的manifest标识的配置属性 autoElevate 为true
2. 程序不弹出UAC弹窗
3. 从注册表里查询Shell\Open\command键值对

这里直接运用到github上的bypassuac

执行shell C:\tmp\bypassuac.exe C:\tmp\beacon.exe

然后在入口主机执行connect 10.10.10.10即可上线，这里我们看一下提权上线后的右上角是有一个*号的

在之前我们没有提权的beacon上执行shell whoami /priv能够看到是没有调试权限的

再到我们提权后的beacon执行，有了调试程序的权限，这里其实曾经相当于是一个管理员的权限了，能够抓取密码

在之前的beacon上执行hashdump会报错没有调试权限

在提权后的beacon胜利执行hashdump

到这里我们就上线了两台主机了，这里难道同网段就没有主机存活了吗，那么我们在10.10.10.10这台主机上再执行命令停止一次扫描

扫到另外一台存活主机的IP为10.10.10.30开放了445端口，这里由于设置了入站规则所以在10.10.10.5主机上是扫描不到这台10.10.10.30的主机的

这里运用tasklist /svc查看进程发现用chrome.exe进程

运用梼杌插件的抓取chrome保管的信息发现有一个hack4的账号

那么很可能这是10.10.10.30这台主机的账号跟密码，这里就运用到smb beacon尝试运用psexec上线，这里首先创立一个SMB beacon

这里运用到psexec停止pth

报错是could not upload file:5，这个报错产生的缘由就是不能翻开匿名管道，我们晓得psexec的原理就是经过翻开admin$管道来完成横向挪动。

那么这里猜想可能要运用管理员的账户去pth，密码的话还是相同

这里运用管理员的账户胜利pth

上线是一个system权限的beacon

在根目录下发现两个txt

胜利拿到第6个flag，还有一个mysql.txt，这里我们之前在192段停止扫描的时分发现了一台主机开放了3306端口，停止衔接的尝试

这里运用navicat衔接是衔接胜利了，但是翻半天也没有找到flag在哪

这里运用goby去扫一下

发现存在cve-2012-2122，这个破绽的原理为，当衔接MariaDB/MySQL时，输入的密码会与希冀的正确密码比拟，由于不正确的处置，会招致即使是memcmp()返回一个非零值，也会使MySQL以为两个密码是相同的。 也就是说只需晓得用户名，不时尝试就可以直接登入SQL数据库。依照公告说法大约256次就可以蒙对一次。

发送exp过去考证一下，是可以应用的

在kali里面运用exp停止攻击，运用的是root账户

for i in `seq 1 1000`; do mysql -uroot -pwrong -h 192.168.1.11  ; done

感谢您的来访，获取更多精彩文章请收藏本站。