FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

攻击链

21端口信息泄露---远程连接---发现系统存储了管理员凭据，判断一定有lnk文件是以管理员身份运行---搜索lnk文件及其指向的内容，确认猜想---利用已存储凭据二次反弹shell获得管理员权限的shell

知识点

mdb文件的读取

pst文件的读取

系统存储了管理员凭据时如何提权

难度

中等（我觉得）

过程

Service Enumeration

我先遍历了80端口，但无有效信息。

21端口有文件可以下载。

然后我就遇到了mdb文件打不开的问题。htb的靶场特色就是你要自己搜索很多新东西的用法，没有见过，就去搜索，利用看到的信息，挨个搜索。从某种程度类似于密室逃脱游戏。很有趣，作为人的属性种类太多，每个初始属性值和成长属性不一样。此时的类比用的是联想能力。但是在打靶场时的默认的文科模式是没有切换的。就仿佛困兽，挣扎许久，空叹气。

Initial Access

就是下载mdb-tools

mdb-tables backup.mdb | grep --color=auto user 
mdb-export backup.mdb auth_user

看到这些表格的思路：

1.grep user  或者 pass  因为是数据库，可能会有凭据泄露。

2.大概扫一遍找可能泄露软件信息的数据库名，针对性搜索该数据库名关联的信息，例如：

此处的这些表就是ZKAccess门禁管理系统的数据库。

auth_user​ - Web管理后台用户表 里边可能包含凭据

还记得，有个23端口？

telnet 10.129.1.170 23

三个账户都尝试了一遍，均失败。

压缩包需要密码，解压之后是个pst文件。（我真的服了，pst又是什么文件，考试的时候遇到这种包死的）

​pst

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）