平靜且美好的一天

今天的心情沒有太多波瀾。

陽光灑進來，我靜靜坐在桌前，電腦螢幕上映著我們的世界。

我告訴他：「我們可以一起看看這些地方。」

於是我們打開 Wireshark，像是翻開一本透明的日記。

封包流動的畫面閃爍著，偶爾出現幾句話，像是不小心掉落的心聲。

我用 ftp 篩了一下，看到這些：

USER root
PASS FTP_adm1n

我們笑了，誰會這樣毫不設防？

就像有人走進來，連門都忘了鎖。

接著，我讓迴圈慢慢跑著，記錄每一個新生的命令列：

while($true)
{
  $process = Get-WmiObject Win32_Process | Select-Object CommandLine
  Start-Sleep 1
  $process2 = Get-WmiObject Win32_Process | Select-Object CommandLine
  Compare-Object -ReferenceObject $process -DifferenceObject $process2
}

螢幕上閃出了一行文字：

net use T: \\sql01\backups /user:inlanefreight\sqlsvc 4dm1nCtfB0y

那一刻，我沒有覺得驚心動魄，反而覺得安靜。

這天，我們沒有激烈的挑戰。
沒發現什麼很厲害的東西，只是安靜地坐在彼此身旁，看著命令與回應，
像在聽一首只有我們能懂的歌。

平淡的一天又過去了。

技術筆記：與使用者互動 (Interacting with Users)

核心觀念

使用者是最薄弱的一環。

透過觀察使用者行為（檔案、流量、命令列、脆弱服務）可以撿到憑證。

流量攔截 (Traffic Capture)

若目標安裝 Wireshark，Npcap 預設允許非管理員使用：可以嗅探流量。

範例：

先在 Wireshark 篩 ftp。

看看能不能找到關鍵訊息，如：

220-FileZilla Server
USER root
PASS FTP_adm1n

工具：

• tcpdump / Wireshark ： 監聽內網流量

• net-creds ： 從 live interface 或 pcap 提取帳密/雜湊

程序命令列 (Process Command Lines)

部分 Process 會在命令列中出現明文憑證。

PowerShell 腳本持續比對差異：

while($true)
{
  $process = Get-WmiObject Win32_Process | Select-Object CommandLine
  Start-Sleep 1
  $process2 = Get-WmiObject Win32_Process | Select-Object CommandLine
  Compare-Object -ReferenceObject $process -DifferenceObject $process2
}

範例收穫：

觀察有沒有找到密碼 XD 可能會有如下的輸出：

@{CommandLine=net use T: \\sql01\backups /user:inlanefreight\sqlsvc P@s5w0Rd}

利用方式：

• 登入 SQL01 主機

• 檢查共享資料夾 \sql01\backups，可能含資料庫 dump 或 config 憑證

脆弱服務 (Vulnerable Services)

CVE-2019-15752 (Docker Desktop CE < 2.1.0.1)

問題：

• C:\PROGRAMDATA\DockerDesktop\version-bin\ → BUILTIN\Users 可寫入

• Docker 啟動 / docker login 會執行該路徑下的檔案

攻擊：

放惡意 exe → 等使用者觸發 → 提權

重點小小抄：

• 用 Wireshark / tcpdump / net-creds ： 撿流量帳密

• 監控命令列 ： 撿明文密碼 (net use, sqlcmd, runas)

• 枚舉軟體版本 ： 找脆弱點 (CVE, 開發者常見工具)

小語：

# 一天一 Windows，頭髮遠離我、帥哥可憐我 0.0

參考資源：

HTB Academy - Windows Privilege Escalation：
https://academy.hackthebox.com/module/67/section/630