终于把easy的机器刷的八八九九了,开始新一轮的Medium机器,Medium难度以上的我都会写wp,保持学习,我的CRTO进度也快结束了。
Authority是一台中等难度的 Windows 计算机,它强调了错误配置、密码重用、在共享上存储凭据的危险,并演示了 Active Directory 中的默认设置(例如,所有域用户最多可以向域添加 10 台计算机的能力)可以与其他问题(易受攻击的 AD CS 证书模板)相结合以接管域。
循例nmap
┌──(mingm1n9k1n9-parrot)-[~]
└─$ sudo nmap -sS -sV -sC 10.10.11.222 --min-rate=1000 -p- --open -Pn
一大堆常规端口
smbmap看到一个share可读
smbclient连上去看到一堆目录,直接全部下载
ADCS目录里面一下就找到了一个暂时没用的密码
还找到了一组无效凭据
又找到了三个ansible加密的数据
分别保存到文件,ansible2john然后直接爆出解密密码
解密
得到三个密码
使用svc_pwm的凭据可以登录配置管理器和编辑器
在配置编辑里面很容易就能找到那个熟悉的东西
在THM的AD教程中,我们曾学过LDAP回传攻击
responder跑起来,然后更改配置
点击test
responder捕获了svc_ldap的明文凭据
直接登winrm
user flag在老地方
具有SeMachineAccount privilege
靶机简介已经提示了ad证书的问题,通过certutil获取所有证书模板信息
查看结果,最后我把目光放到了这个证书模板上
首先它允许利用其来进行客户端身份验证
我们还看到了CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT标志置为1,这表明我们可以更改主体别名SAN,即代表其他用户。
最后需要关注的点则是查看谁有权限去注册证书
进攻路线很明显,我们的svc_ldap账户拥有SeMachineAccountPrivilege,也就是说我们能够创建机器账户,利用机器账户来请求证书
上传Powermad
New-MachineAccount创建机器账户
certipy利用机器账户请求证书
证书是有了,但这个证书用不了,PKINIT不受支持,https://offsec.almond.consulting/authenticating-with-certificates-when-pkinit-is-not-supported.html
但可以通过LDAP来利用它,PassTheCert会帮助我们
通过certipy把私钥和证书导出,它将利用这两个东西利用证书来进行LDAP身份验证
做了一件OPSEC不佳的事情,就是直接改了admin密码
登winrm,成功到DA
root flag还在老地方