HTB Vintage. Ломаем лабораторию Active Directory

Содержание статьи

• Разведка
• Сканирование портов
• Точка входа
• Продвижение
• Локальное повышение привилегий
• Пользователь C.NERI_ADM
• Пользователь L.BIANCHI_ADM

Се­год­ня я покажу про­цесс экс­плу­ата­ции цепоч­ки уяз­вимос­тей в Active Directory. Небезо­пас­ные спис­ки дос­тупа дадут нам сес­сию на хос­те, а учет­ную запись адми­нис­тра­тора мы смо­жем заполу­чить, обна­ружив сох­ранен­ные учет­ные дан­ные и груп­пу с делеги­рова­нием.

На­ша цель — получе­ние прав супер­поль­зовате­ля на машине Vintage с учеб­ной пло­щад­ки Hack The Box. Уро­вень задания — слож­ный.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся с при­мене­нием средств ано­ними­зации и вир­туали­зации. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Разведка

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.10.11.45 vintage.htb

По­мимо IP-адре­са, нам на этот раз дают учет­ные дан­ные с пра­вами поль­зовате­ля домена.

Ин­форма­ция о машине

За­пус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '' ',' | sed s/,$//)nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Ре­зуль­тат работы скрип­та

Ска­нер нашел 12 откры­тых пор­тов:

• 88 — служ­ба Kerberos;
• 135 — служ­ба уда­лен­ного вызова про­цедур (Microsoft RPC). Исполь­зует­ся для опе­раций вза­имо­дей­ствия кон­трол­лер — кон­трол­лер и кон­трол­лер — кли­ент;
• 139 — NetBIOS, NetLogon;
• 389 — LDAP;
• 445 — SMB;
• 464 — служ­ба сме­ны пароля Kerberos;
• 593 (HTTP-RPC-EPMAP) — исполь­зует­ся в служ­бах DCOM и MS Exchange;
• 636 — LDAP с шиф­ровани­ем SSL или TLS;
• 3268 (LDAP) — для дос­тупа к Global Catalog от кли­ента к кон­трол­леру;
• 3269 (LDAPS) — для дос­тупа к Global Catalog от кли­ента к кон­трол­леру через защищен­ное соеди­нение;
• 5985 — служ­ба уда­лен­ного управле­ния WinRM;
• 9389 — веб‑служ­бы AD DS.

Точка входа

Про­верим выдан­ные учет­ные дан­ные с помощью NetExec.

nxc ldap 10.10.11.45 -u P.Rosa -p Rosaisbest123!

Про­вер­ка учет­ных дан­ных

От­вет STATUS_NOT_SUPPORTED говорит о том, что про­токол аутен­тифика­ции NTLM не под­держи­вает­ся. Поп­робу­ем исполь­зовать аутен­тифика­цию Kerberos, но спер­ва обно­вим запись в фай­ле /etc/hosts.

10.10.11.45 vintage.htb dc01.vintage.htb

За­тем необ­ходимо син­хро­низи­ровать вре­мя с сер­вером.

sudo timedatectl set-ntp falsesudo ntpdate -s 10.10.11.45

Ког­да все готово, зап­росим TGT-билет Kerberos для юзе­ра P.Rosa.

getTGT.py vintage.htb/P.Rosa:Rosaisbest123

По­луче­ние тикета

Би­лет получен, теперь исполь­зуем его для под­клю­чения к служ­бе LDAP с помощью NetExec.

KRB5CCNAME=P.Rosa.ccache nxc ldap dc01.vintage.htb -u P.Rosa -p 'Rosaisbest123!' -k --use-kcache

Про­вер­ка билета

Все работа­ет, дос­туп есть, а зна­чит, получим спи­сок поль­зовате­лей с полем description, ведь иног­да там мож­но най­ти раз­ную инте­рес­ную информа­цию.

KRB5CCNAME=P.Rosa.ccache nxc ldap dc01.vintage.htb -u P.Rosa -p 'Rosaisbest123!' -k --use-kcache --users

Спи­сок поль­зовате­лей домена

Ни­чего нового не наш­ли, поэто­му соберем базу BloodHound.

Справка: BloodHound

Ути­лита BloodHound исполь­зует теорию гра­фов для выяв­ления скры­тых и зачас­тую неп­редна­мерен­ных вза­имос­вязей в сре­де Active Directory. Ее мож­но исполь­зовать, что­бы лег­ко иден­тифици­ровать очень слож­ные пути ата­ки. Помимо самой ути­литы, которая поз­воля­ет прос­матри­вать граф, сущес­тву­ет часть, заг­ружа­емая на уда­лен­ный хост для сбо­ра информа­ции. Она быва­ет в вер­сиях для Windows — на PowerShell или C# — и для Linux — на Python.

Соб­рать базу мож­но с помощью BloodHound.py, одна­ко для это­го тре­бует­ся DNS-сер­вер. DNS из лабора­тории нам недос­тупен, так что под­нима­ем свой — со все­ми необ­ходимы­ми запися­ми.

[A] *.vintage.htb=10.10.11.45 [SRV] _ldap._tcp.pdc._msdcs.vintage.htb=0 5 389 vintage.htb _ldap._tcp.gc._msdcs.vintage.htb=0 5 389 vintage.htb _kerberos._tcp.dc._msdcs.vintage.htb=0 5 88 vintage.htb

Источник: xakep.ru