家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

【Hack The Box】manager

目次

 

 

 

偵察/スキャン

nmapでスキャンします。

-p-でスキャンし、確認できたポートに詳細なスキャンを行います。

┌──(kali㉿kali)-[~/htb/manager]
└─$ sudo nmap -sC -sV -A -O -p53,80,88,135,139,389,445,464,593,636,1433,3268,3269,5985,9389,49667,49689,49690,49693,49724,49795,49878 10.10.11.236
Nmap scan report for 10.10.11.236
Host is up (0.19s latency).

PORT      STATE    SERVICE       VERSION
53/tcp    open     domain        Simple DNS Plus
80/tcp    open     http          Microsoft IIS httpd 10.0
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-title: Manager
|_http-server-header: Microsoft-IIS/10.0
88/tcp    open     kerberos-sec  Microsoft Windows Kerberos (server time: 2024-11-19 12:24:36Z)
135/tcp   open     msrpc         Microsoft Windows RPC
139/tcp   open     netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open     ldap          Microsoft Windows Active Directory LDAP (Domain: manager.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2024-11-19T12:26:13+00:00; +7h00m00s from scanner time.
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.manager.htb
| Not valid before: 2024-08-30T17:08:51
|_Not valid after:  2122-07-27T10:31:04
445/tcp   open     microsoft-ds?
464/tcp   open     kpasswd5?
593/tcp   open     ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open     ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: manager.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2024-11-19T12:26:14+00:00; +7h00m00s from scanner time.
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.manager.htb
| Not valid before: 2024-08-30T17:08:51
|_Not valid after:  2122-07-27T10:31:04
1433/tcp  open     ms-sql-s      Microsoft SQL Server 2019 15.00.2000.00; RTM
| ms-sql-info: 
|   10.10.11.236:1433: 
|     Version: 
|       name: Microsoft SQL Server 2019 RTM
|       number: 15.00.2000.00
|       Product: Microsoft SQL Server 2019
|       Service pack level: RTM
|       Post-SP patches applied: false
|_    TCP port: 1433
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2024-11-19T12:21:50
|_Not valid after:  2054-11-19T12:21:50
| ms-sql-ntlm-info: 
|   10.10.11.236:1433: 
|     Target_Name: MANAGER
|     NetBIOS_Domain_Name: MANAGER
|     NetBIOS_Computer_Name: DC01
|     DNS_Domain_Name: manager.htb
|     DNS_Computer_Name: dc01.manager.htb
|     DNS_Tree_Name: manager.htb
|_    Product_Version: 10.0.17763
|_ssl-date: 2024-11-19T12:26:13+00:00; +7h00m00s from scanner time.
3268/tcp  open     ldap          Microsoft Windows Active Directory LDAP (Domain: manager.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2024-11-19T12:26:13+00:00; +7h00m00s from scanner time.
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.manager.htb
| Not valid before: 2024-08-30T17:08:51
|_Not valid after:  2122-07-27T10:31:04
3269/tcp  open     ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: manager.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2024-11-19T12:26:14+00:00; +7h00m00s from scanner time.
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.manager.htb
| Not valid before: 2024-08-30T17:08:51
|_Not valid after:  2122-07-27T10:31:04
5985/tcp  open     http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
9389/tcp  open     mc-nmf        .NET Message Framing
49667/tcp open     msrpc         Microsoft Windows RPC
49689/tcp open     ncacn_http    Microsoft Windows RPC over HTTP 1.0
49690/tcp open     msrpc         Microsoft Windows RPC
49693/tcp open     msrpc         Microsoft Windows RPC
49724/tcp open     msrpc         Microsoft Windows RPC
49795/tcp filtered unknown
49878/tcp filtered unknown
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running (JUST GUESSING): Microsoft Windows 2019 (89%)
Aggressive OS guesses: Microsoft Windows Server 2019 (89%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 2 hops
Service Info: Host: DC01; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-time: 
|   date: 2024-11-19T12:25:35
|_  start_date: N/A
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required
|_clock-skew: mean: 6h59m59s, deviation: 0s, median: 6h59m59s

TRACEROUTE (using port 139/tcp)
HOP RTT       ADDRESS
1   189.32 ms 10.10.14.1
2   189.30 ms 10.10.11.236

 

上記の結果より、ドメインやホスト名が確認できます。

manager.htb および dc01.manager.htb

 

次にnetexecを使用してRIDブルートフォースを実行し、有効なユーザ名を探します。

実行結果

いくつかのユーザ名が確認できました。
現時点ではパスワード情報がないのでユーザ名とパスワードが同じアカウントがないか確認します。

ジョーアカウント発見

operator/operatorを確認できました。

 

上記のアカウントでMSSQLにアクセスするとアクセスできました。

sql接続

 

アクセス取得

アクセス後はディレクトリの構成情報が確認できました。

コマンド実行

ディレクトリを探索するとzipファイルが確認できます。

zipファイル確認

zipファイルはwwwroot直下にあるのでをWebアクセスで取得し中身を確認します。
.old-conf.xmlの中にアカウント情報が確認できました。

.old-conf.xml

上記のアカウント情報を使用してevil-winrmを実行するとシェルが取得できます。

ravenシェル取得

 

権限昇格

Kaliからcertipy-ad を実行してADCSの脆弱性を調べます。

ADCSの脆弱性確認

実行結果よりESC7の脆弱性があることが確認できます。

book.hacktricks.xyz

上記のサイト内容を踏まえコマンドを実行します。

実行結果

 

実行結果

 

ここではエラーが返されますが、要求ID値が出力されています。
そのまま継続します。

 

実行結果

hash値取得

途中何度も失敗がありました。

都度、「sudo radte -n 10.10.11.236」で同期し、コマンドを実行することでハッシュ値を取得できました。

 

上記まで実行してhash値が取得出来たらevil-winrmでrootが取得できます。

root取得