首先,我要说这台机器花了我大约6个小时来完成整个工作。我掉了几个万恶的坑里,最终的解决方案比我想象的要简单得多。
我的第一步。在新计算机上启动时,几乎总是这样,即执行nmap扫描以查看运行情况。
从输出中我们可以看到有3个服务。Telnet,HTTP和FTP。首先检查HTTP是最简单的方法。所以我浏览到http://10.10.10.98,在其中显示了一个页面,其中包含名为out.jpg的图像,该图像显示了服务器机房的摄像机视图,上方显示了文本LON-MC6。查看源代码时,页面上没有任何隐藏内容。
因为这似乎暂时还没有到位。接下来,我决定尝试通过使用ncftp进行连接以检查FTP服务:
从上面的输出中可以看到。FTP服务接受来宾登录,因为它不提示输入密码。它包含两个名为“ Backups and Engineer”的目录,在“ Backups”中具有一个backup.mdb文件,在Engineer中具有“ Access Control.zip”文件。我使用get命令将它们都下载到本地计算机。我最初尝试使用标准ftp命令而不是ncftp来执行此操作。但是由于某种原因,它不会正确下载backup.mdb并损坏。因此,出于这个原因,我改用了ncftp,效果很好。接下来,我厌倦了解压缩“ Access Control.zip”,但是它受到密码保护。
然后,我将backup.mdb复制到我的Windows计算机上,并使用一些名为MDB Viewer的免费软件打开了该文件。该文件包含许多我搜索过的表。似乎很重要的一个表称为auth_user,其中包含3个用户/密码组合。我对“ Access Control.zip”上的每个密码都感到厌倦,密码access4u @ security可以解压缩并提取其中的PST文件。
PST文件是交换邮箱的存储文件。我将PST文件导入到Thunderbird中,这使我可以查看文件中包含的电子邮件。
我的下一步是通过使用电子邮件中提供的凭据进行连接,检查nmap找到的最终Telnet服务。
从这里我们可以访问机器。本机有2个标志。一个用户标志存储在c:\ Users \ security \ Desktop \ user.txt中,一个根标志存储在c:\ Users \ security \ Desktop \ user.txt中。因此,我将其CD到桌面,并将user.txt的内容输出到命令行。
因此,我们现在已经成功获取了用户标志。下一步是获取根标志。这是我花费最多时间实现的目标。我花了很长时间尝试上载和运行Shell并使用ZKAccess3.5程序执行特权升级,但是这些都不成功。最后起作用的方法是使用runas命令。这允许您以其他用户的身份从命令行运行某些内容。因此,我本质上想做的就是运行命令“键入c:\ Users \ Administrator \ Desktop \ root.txt”。作为管理员。我最初尝试仅运行“ runas / user:administrator”类型c:\ Users \ Administrator \ Desktop \ root.txt。此问题是Runas产生了第二个窗口来运行命令并输出结果。所以您不会在窗口中看到输出。
我尝试输入在backup.mdb中找到的其他密码,但是没有一个起作用。我发现的是runas命令的一个选项,它允许您为用户使用保存的凭据。因此,如果管理员帐户的凭据保存在Windows凭据管理器中。这些可用于以管理员身份运行命令,而无需手动输入密码。这是通过使用/ savecred开关完成的。我发现即使使用了它,本来应该是root.txt的内容(root标志)的输出也是空白的。这是由于该命令在telnet会话之外的另一个视图中运行。经过大量的猜测和操作后,我发现以下命令起作用了,从而允许我运行所需的命令并将结果输出到txt文件中,可以在当前会话中查看该文件。
如您所见,此操作成功完成,我能够以管理员身份执行命令并读取root.txt的内容。
end
领取专属 10元无门槛券
私享最新 技术干货