Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
В этом райтапе я покажу, как может быть атакован домен управления групповыми политиками в Active Directory. Но начнем мы с восстановленных запросов Kerberos и получим зашифрованные данные, которые позволят нам подобрать пароль пользователя. А затем воспользуемся уязвимостью в Joomla, чтобы получить сессию на удаленном сервере.
Наша цель — получение прав суперпользователя на машине Office с учебной площадки Hack The Box. Уровень задания — сложный.
warning
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Добавляем IP-адрес машины в /etc/hosts
:
10.10.11.3 office.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A
).
Результат работы скрипта
Сканер нашел множество открытых портов, что вполне естественно для контроллера домена:
53
— DNS; 80
(HTTP) — веб‑сервер Apache httpd 2.4.56; 88
— Kerberos; 139
— служба сеансов NetBIOS, NetLogon; 389
— LDAP; 443
(HTTPS) — веб‑сервер Apache httpd 2.4.56; 445
— SMB; 464
— служба смены пароля Kerberos; 593
(HTTP-RPC-EPMAP) — используется в службах DCOM и MS Exchange; 636
— LDAP с шифрованием SSL или TLS; 3268
(LDAP) — для доступа к Global Catalog от клиента к контроллеру; 3269
(LDAPS) — для доступа к Global Catalog от клиента к контроллеру через защищенное соединение; 5985
— служба удаленного управления WinRM; 9389
— веб‑службы AD DS. Как правило, в таких случаях первым делом стоит смотреть SMB, но на веб‑сервере развернута Joomla, а она может быть уязвима.
Когда имеем дело с Joomla, первым делом следует использовать специализированный сканер — JoomScan.
joomscan -u http://10.10.11.3
Результат сканирования CMS Joomla
Определяем версию (4.2.7) и тут же пробуем найти для нее эксплоиты. Первым делом идем в Google.
Поиск эксплоитов в Google
И сразу узнаём, что в нашей версии есть уязвимость CVE-2023-23752, что позволит нам получить учетные данные для подключения к базе данных. Для этого будем использовать найденный эксплоит.
Запускаем и указываем адрес:
python3 CVE-2023-23752.py -u http://10.10.11.3
Результат работы эксплоита
Уязвимость заключается в неправильной проверке доступа. Эксплоит проверяет различные API, которые могут вернуть учетные данные для подключения к базе данных. Однако для авторизации в CMS полученный таким образом пароль не подошел, а других пользователей, кроме администратора, найти не удалось.
В этом случае используем недочет протокола Kerberos: на запрос тикета пользователя могут приходить ответы с разными кодами ошибок. Один — при запросе тикета для несуществующего пользователя, другой — в ответ на неверный пароль. Таким образом, можно методом перебора узнать, какие пользователи есть в домене. Для этого используем утилиту kerbrute.
kerbrute_linux_amd64 userenum --dc dc.office.htb -d office.htb xato-net-10-million-usernames.txt
Результат перебора пользователей
Сохраняем найденных пользователей в файл и спреим полученный ранее пароль с помощью NetExec.
nxc smb 10.10.11.3 -u users.txt -p 'H0lOgrams4reTakIng0Ver754!' --smb-timeout 3
Результат спрея пароля
Теперь у нас есть валидная учетная запись, что позволяет провести базовую разведку в домене.
Первым делом получим список всех пользователей.
nxc ldap 10.10.11.3 -u dwolfe -p 'H0lOgrams4reTakIng0Ver754!' --users
Список пользователей
Источник: xakep.ru