背景

這是我今年早些時(shí)候接手的一個(gè)滲透測(cè)試項(xiàng)目，我要做的是獲取到目標(biāo)系統(tǒng)的控制權(quán)限。但在后滲透測(cè)試階段，我僅僅只發(fā)現(xiàn)了一臺(tái)與目標(biāo)內(nèi)網(wǎng)無(wú)任何關(guān)聯(lián)的計(jì)算機(jī)，這也使我無(wú)法執(zhí)行類似于Responder或ARP欺騙的攻擊。此外，我也沒(méi)有辦法枚舉出目標(biāo)系統(tǒng)的用戶信息，最要命的是目標(biāo)系統(tǒng)的補(bǔ)丁也打的滴水不漏，一時(shí)我陷入了僵局~

打印機(jī)之光

但我并沒(méi)有因此就放棄，我回頭仔細(xì)查看了我的滲透筆記和掃描記錄，驚奇的我發(fā)現(xiàn)了一個(gè)開(kāi)放的打印機(jī)!

在“網(wǎng)絡(luò)文件夾掃描”欄下我發(fā)現(xiàn)，該文件夾指向的正是目標(biāo)系統(tǒng)上的文件夾。

在網(wǎng)絡(luò)上這個(gè)打印機(jī)被配置為，掃描和保存文檔到單獨(dú)的計(jì)算機(jī)工作組中。另外我發(fā)現(xiàn)它的配置文件可被隨意編輯更改，而不需要任何的權(quán)限認(rèn)證。

測(cè)試打印機(jī)

首先，我創(chuàng)建了一個(gè)新的配置選項(xiàng)指向我的目標(biāo)系統(tǒng)，并使Responder能夠抓取到我的假哈希值。

接著，我確保了更改網(wǎng)絡(luò)位置并不會(huì)刪除已保存的用戶名或密碼(以便我在完成操作后，將更改恢復(fù)原樣)。

更改設(shè)置

在確定我之前的操作不會(huì)造成任何破壞的前提下，我更改了配置讓其網(wǎng)絡(luò)路徑指向了我的目標(biāo)系統(tǒng)。

當(dāng)我點(diǎn)擊下一步，打印機(jī)為我展示了新網(wǎng)絡(luò)路徑的摘要頁(yè)面。

抓取哈希

一切準(zhǔn)備就緒后，我點(diǎn)擊了“Save and Test”按鈕并等待結(jié)果~

不一會(huì)兒，我就從打印機(jī)抓取到了目標(biāo)系統(tǒng)的哈希值!如下所示：

總結(jié)

現(xiàn)在，我已經(jīng)獲取到了目標(biāo)系統(tǒng)的哈希值，接下來(lái)我要做的就是破解并訪問(wèn)目標(biāo)系統(tǒng)。但在我后續(xù)測(cè)試發(fā)現(xiàn)，在目標(biāo)系統(tǒng)我無(wú)法對(duì)該賬戶進(jìn)行提權(quán)操作。雖然如此，但我仍然感到知足。因?yàn)?，該普通用戶?quán)限的賬戶依舊可以訪問(wèn)到許多的敏感信息。