HTB: University
Box信息
- 名称: University
- 发布日期: 2024年10月26日
- 退役日期: 2025年8月9日
- 操作系统: Windows
- 难度等级: Insane [50]
- 创建者: Spectra199
侦察
初始扫描
Nmap扫描显示26个开放TCP端口,包括典型Windows域控制器端口(53、88、135、139、389、445等)。域名确定为university.htb,主机名为DC。
SMB - TCP 445
无法通过匿名或访客访问SMB共享,需凭据进一步枚举。
网站 - TCP 80
网站重定向至university.htb,包含课程浏览、注册和登录功能。教授账户需证书登录,学生账户可直接注册。
技术栈分析
- Web服务器: nginx/1.24.0
- 后端框架: Django
- PDF生成: xhtml2pdf (基于ReportLab)
- 证书登录: 自定义CA签名机制
获取WAO用户Shell
识别CVE-2023-33733
利用ReportLab库的RCE漏洞(CVE-2023-33733),通过PDF生成功能执行代码。
POC构造
在用户简介中注入恶意Payload,触发PDF生成时执行系统命令:
|
|
Shell获取
通过PowerShell下载并执行反向Shell脚本,获得university\wao权限。
枚举
主机枚举
- 用户目录发现GnuPG配置,暗示Linux交互。
- Web目录包含Django项目文件和CA证书/密钥。
- 数据库备份脚本泄露密码
WebAO1337,用于WAO账户密码喷洒。
网络枚举
- 内部网络发现主机
192.168.99.2(WS-3) 和192.168.99.12(LAB-2)。 - 使用Chisel建立SOCKS代理访问内网。
教授Web访问
生成合法证书
利用CA私钥伪造教授账户证书,登录后获得课程管理权限。
恶意讲座上传
创建包含恶意URL文件的ZIP包,签名后上传。当评估人员点击URL时,从WS-3执行预置的Reverse Shell。
获取WS-3和LAB-2访问
WS-3 WinRM登录
使用WAO凭据WebAO1337通过WinRM登录WS-3。
LAB-2 SSH登录
相同凭据通过SSH登录LAB-2,利用sudo提权至root。
提升至Martin.T权限
钓鱼攻击
通过恶意讲座文件触发URL执行,获得Martin.T用户Shell。
提升至Administrator权限
NTLM中继攻击
- mitm6 DNS欺骗: 劫持WPAD请求,指向攻击者控制主机。
- ntlmrelayx中继: 将WS-3$机器账户认证中继至DC,配置RBCD权限。
- 服务票据获取: 利用伪造计算机账户获取Administrator的WinRM服务票据。
无约束委派利用
从WS-3内存中转储Kerberos票据,获得Rose.L用户的TGT。
域控提权
GMSA密码提取
Rose.L用户具有读取GMSA-PClient01$账户密码的权限,使用netexec提取NTLM哈希。
最终权限获取
利用GMSA账户的AllowedToAct权限,模拟Administrator获取域控完全访问权限。
总结
本靶机涉及多技术点融合:
- Web漏洞利用(CVE-2023-33733)
- 证书伪造与身份验证绕过
- 横向移动与权限提升
- NTLM中继与Kerberos委派攻击
- GMSA密码滥用与域控提权
通过综合运用这些技术,最终实现从外部渗透到域控权限获取的完整链。