HackTheBox - Medium - Windows - Authority

Authority

终于把easy的机器刷的八八九九了,开始新一轮的Medium机器,Medium难度以上的我都会写wp,保持学习,我的CRTO进度也快结束了。


Authority是一台中等难度的 Windows 计算机,它强调了错误配置、密码重用、在共享上存储凭据的危险,并演示了 Active Directory 中的默认设置(例如,所有域用户最多可以向域添加 10 台计算机的能力)可以与其他问题(易受攻击的 AD CS 证书模板)相结合以接管域。

外部信息收集

循例nmap

┌──(mingm1n9k1n9-parrot)-[~]
└─$ sudo nmap -sS -sV -sC 10.10.11.222 --min-rate=1000 -p- --open -Pn

HackTheBox - Medium - Windows - Authority_第1张图片

一大堆常规端口

SMB

smbmap看到一个share可读

HackTheBox - Medium - Windows - Authority_第2张图片

smbclient连上去看到一堆目录,直接全部下载

HackTheBox - Medium - Windows - Authority_第3张图片

ADCS目录里面一下就找到了一个暂时没用的密码

HackTheBox - Medium - Windows - Authority_第4张图片

还找到了一组无效凭据

HackTheBox - Medium - Windows - Authority_第5张图片

又找到了三个ansible加密的数据

HackTheBox - Medium - Windows - Authority_第6张图片

分别保存到文件,ansible2john然后直接爆出解密密码

file

HackTheBox - Medium - Windows - Authority_第7张图片

解密

HackTheBox - Medium - Windows - Authority_第8张图片

得到三个密码

HackTheBox - Medium - Windows - Authority_第9张图片

8443 - LDAP回传攻击

HackTheBox - Medium - Windows - Authority_第10张图片

使用svc_pwm的凭据可以登录配置管理器和编辑器

HackTheBox - Medium - Windows - Authority_第11张图片

在配置编辑里面很容易就能找到那个熟悉的东西

HackTheBox - Medium - Windows - Authority_第12张图片

在THM的AD教程中,我们曾学过LDAP回传攻击

HackTheBox - Medium - Windows - Authority_第13张图片

responder跑起来,然后更改配置

HackTheBox - Medium - Windows - Authority_第14张图片

点击test

HackTheBox - Medium - Windows - Authority_第15张图片

responder捕获了svc_ldap的明文凭据

HackTheBox - Medium - Windows - Authority_第16张图片

直接登winrm

HackTheBox - Medium - Windows - Authority_第17张图片

user flag在老地方

域权限提升 - Easy ADCS

具有SeMachineAccount privilege

HackTheBox - Medium - Windows - Authority_第18张图片

靶机简介已经提示了ad证书的问题,通过certutil获取所有证书模板信息

HackTheBox - Medium - Windows - Authority_第19张图片

查看结果,最后我把目光放到了这个证书模板上

file

首先它允许利用其来进行客户端身份验证

HackTheBox - Medium - Windows - Authority_第20张图片

我们还看到了CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT标志置为1,这表明我们可以更改主体别名SAN,即代表其他用户。

file

最后需要关注的点则是查看谁有权限去注册证书

HackTheBox - Medium - Windows - Authority_第21张图片

进攻路线很明显,我们的svc_ldap账户拥有SeMachineAccountPrivilege,也就是说我们能够创建机器账户,利用机器账户来请求证书

创建机器账户

上传Powermad

HackTheBox - Medium - Windows - Authority_第22张图片

New-MachineAccount创建机器账户

HackTheBox - Medium - Windows - Authority_第23张图片

不支持 PKINIT 时使用证书进行身份验证

certipy利用机器账户请求证书

HackTheBox - Medium - Windows - Authority_第24张图片

证书是有了,但这个证书用不了,PKINIT不受支持,https://offsec.almond.consulting/authenticating-with-certificates-when-pkinit-is-not-supported.html

但可以通过LDAP来利用它,PassTheCert会帮助我们

通过certipy把私钥和证书导出,它将利用这两个东西利用证书来进行LDAP身份验证

HackTheBox - Medium - Windows - Authority_第25张图片

做了一件OPSEC不佳的事情,就是直接改了admin密码

HackTheBox - Medium - Windows - Authority_第26张图片

登winrm,成功到DA

HackTheBox - Medium - Windows - Authority_第27张图片

root flag还在老地方

你可能感兴趣的:(HackTheBox,HackTheBox,网络安全,常见应用攻击,Windows渗透测试,域渗透)