目次
偵察/スキャン
nmapでスキャンします。
-p-でスキャンし、確認できたポートに詳細なスキャンを行います。
┌──(kali㉿kali)-[~/htb/manager] └─$ sudo nmap -sC -sV -A -O -p53,80,88,135,139,389,445,464,593,636,1433,3268,3269,5985,9389,49667,49689,49690,49693,49724,49795,49878 10.10.11.236 Nmap scan report for 10.10.11.236 Host is up (0.19s latency). PORT STATE SERVICE VERSION 53/tcp open domain Simple DNS Plus 80/tcp open http Microsoft IIS httpd 10.0 | http-methods: |_ Potentially risky methods: TRACE |_http-title: Manager |_http-server-header: Microsoft-IIS/10.0 88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2024-11-19 12:24:36Z) 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn Microsoft Windows netbios-ssn 389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: manager.htb0., Site: Default-First-Site-Name) |_ssl-date: 2024-11-19T12:26:13+00:00; +7h00m00s from scanner time. | ssl-cert: Subject: | Subject Alternative Name: DNS:dc01.manager.htb | Not valid before: 2024-08-30T17:08:51 |_Not valid after: 2122-07-27T10:31:04 445/tcp open microsoft-ds? 464/tcp open kpasswd5? 593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0 636/tcp open ssl/ldap Microsoft Windows Active Directory LDAP (Domain: manager.htb0., Site: Default-First-Site-Name) |_ssl-date: 2024-11-19T12:26:14+00:00; +7h00m00s from scanner time. | ssl-cert: Subject: | Subject Alternative Name: DNS:dc01.manager.htb | Not valid before: 2024-08-30T17:08:51 |_Not valid after: 2122-07-27T10:31:04 1433/tcp open ms-sql-s Microsoft SQL Server 2019 15.00.2000.00; RTM | ms-sql-info: | 10.10.11.236:1433: | Version: | name: Microsoft SQL Server 2019 RTM | number: 15.00.2000.00 | Product: Microsoft SQL Server 2019 | Service pack level: RTM | Post-SP patches applied: false |_ TCP port: 1433 | ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback | Not valid before: 2024-11-19T12:21:50 |_Not valid after: 2054-11-19T12:21:50 | ms-sql-ntlm-info: | 10.10.11.236:1433: | Target_Name: MANAGER | NetBIOS_Domain_Name: MANAGER | NetBIOS_Computer_Name: DC01 | DNS_Domain_Name: manager.htb | DNS_Computer_Name: dc01.manager.htb | DNS_Tree_Name: manager.htb |_ Product_Version: 10.0.17763 |_ssl-date: 2024-11-19T12:26:13+00:00; +7h00m00s from scanner time. 3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: manager.htb0., Site: Default-First-Site-Name) |_ssl-date: 2024-11-19T12:26:13+00:00; +7h00m00s from scanner time. | ssl-cert: Subject: | Subject Alternative Name: DNS:dc01.manager.htb | Not valid before: 2024-08-30T17:08:51 |_Not valid after: 2122-07-27T10:31:04 3269/tcp open ssl/ldap Microsoft Windows Active Directory LDAP (Domain: manager.htb0., Site: Default-First-Site-Name) |_ssl-date: 2024-11-19T12:26:14+00:00; +7h00m00s from scanner time. | ssl-cert: Subject: | Subject Alternative Name: DNS:dc01.manager.htb | Not valid before: 2024-08-30T17:08:51 |_Not valid after: 2122-07-27T10:31:04 5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) |_http-title: Not Found |_http-server-header: Microsoft-HTTPAPI/2.0 9389/tcp open mc-nmf .NET Message Framing 49667/tcp open msrpc Microsoft Windows RPC 49689/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0 49690/tcp open msrpc Microsoft Windows RPC 49693/tcp open msrpc Microsoft Windows RPC 49724/tcp open msrpc Microsoft Windows RPC 49795/tcp filtered unknown 49878/tcp filtered unknown Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Device type: general purpose Running (JUST GUESSING): Microsoft Windows 2019 (89%) Aggressive OS guesses: Microsoft Windows Server 2019 (89%) No exact OS matches for host (test conditions non-ideal). Network Distance: 2 hops Service Info: Host: DC01; OS: Windows; CPE: cpe:/o:microsoft:windows Host script results: | smb2-time: | date: 2024-11-19T12:25:35 |_ start_date: N/A | smb2-security-mode: | 3:1:1: |_ Message signing enabled and required |_clock-skew: mean: 6h59m59s, deviation: 0s, median: 6h59m59s TRACEROUTE (using port 139/tcp) HOP RTT ADDRESS 1 189.32 ms 10.10.14.1 2 189.30 ms 10.10.11.236
上記の結果より、ドメインやホスト名が確認できます。
manager.htb および dc01.manager.htb
次にnetexecを使用してRIDブルートフォースを実行し、有効なユーザ名を探します。
いくつかのユーザ名が確認できました。
現時点ではパスワード情報がないのでユーザ名とパスワードが同じアカウントがないか確認します。
operator/operatorを確認できました。
上記のアカウントでMSSQLにアクセスするとアクセスできました。
アクセス取得
アクセス後はディレクトリの構成情報が確認できました。
ディレクトリを探索するとzipファイルが確認できます。
zipファイルはwwwroot直下にあるのでをWebアクセスで取得し中身を確認します。
.old-conf.xmlの中にアカウント情報が確認できました。
上記のアカウント情報を使用してevil-winrmを実行するとシェルが取得できます。
権限昇格
Kaliからcertipy-ad を実行してADCSの脆弱性を調べます。
実行結果よりESC7の脆弱性があることが確認できます。
上記のサイト内容を踏まえコマンドを実行します。
ここではエラーが返されますが、要求ID値が出力されています。
そのまま継続します。
途中何度も失敗がありました。
都度、「sudo radte -n 10.10.11.236」で同期し、コマンドを実行することでハッシュ値を取得できました。
上記まで実行してhash値が取得出来たらevil-winrmでrootが取得できます。