Season_7
HTB_EscapeTwo
Windows(Easy)
总结
user.txt:
已知rose凭证,smbclient得到xlsx文件->mssql登录及命令执行->敏感配置文件凭证->密码喷洒
root.txt:
bloodhound分析,ryan用户对ca_svc有writeowner权限,考虑到CA模板漏洞->bloodyAD进行owner、DACL权限设置、(可重置密码或者certypy-ad获取hash) ->证书模板利用(Certified靶机)
bloodyhound找不到从rose直接或间接到ryan的路径,所以可能是利用其它的敏感信息,1433端口利用+密码喷洒
另外-template是指真正的模板名
参考
wp: 群里师傅讨论
mssql利用:https://xz.aliyun.com/t/7534?time__1311=n4%2BxnD0Dy7eYu2xBqoo30QDknG8%2F35eeF4D
ad-certificates:https://book.hacktricks.wiki/en/windows-hardening/active-directory-methodology/ad-certificates/domain-escalation.html?highlight=ESC4#abuse-2
原文始发于微信公众号(羽泪云小栈):S7_HTB_EscapeTwo(思路)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论