Проблема Повышение привилегий в Active Directory (WS 2000)

[ArthurPatriot]

Доброй ночи, codeby`йцы

Вот появилась новая проблемка... Есть контроллер домена Active Directory на Windows Server 2000 (и такие еще существуют).

Вообщем, был получен доступ к машине входящей в домен. Получен пароль локального администратора ну и собственно простая учетная запись для доступа к самому серверу с AD.

Сессия meterpeter на на контроллере домена живет не долго, падает от "memory not read" и мигрировать в процесса администратора контроллера домена тоже не может... В system тоже. Доступа к PowerShell и CMD естественно нет.

Golden Tickets и лазейка в Kerberos не помогают поднять права в домене. Какие варианты дальнейшей атаки на домен посоветуете опробовать?

 

[SooLFaa]

Ссылка скрыта от гостей

 

[Breed]

Давненько это было, могу и запамятовать, но, по-моему, я делал так: в 2000 не закрыта дырка по хэшам и он их сохраняет. Достаешь хэш админа сервера (программ - море) и runhash тебе в руки. Поднимаешь себе привилегии и сервер у твоих ног.

 

[BadBlackHat]

impersonate token

 

[ArthurPatriot]

Вопрос решен. Всем спасибо!

 

[Сергей Попов]

Вопрос решен. Всем спасибо!

Решение пожалуйста.

 

[ArthurPatriot]

Решение пожалуйста.

Был получен доступ к ПК, участнику домена. Получен с него пароль локального админа. С этими данными был выполнен вход в контроллер домена. А там уже просто создал пользователя и добавил в Enterprise и Domain Admins.

Теперь только сложность с дампом NTLM хешей юзеров домена. Т.к. это Windows 2000, и теневого копирования нету, то слить ntds.dit не выходит...

 

[Breed]

Получен с него пароль локального админа. С этими данными был выполнен вход в контроллер домена. А там уже просто создал пользователя и добавил в Enterprise и Domain Admins

Гм... Выходит, что локальный админ и доменный - суть одно и то же? Т.е. пароли совпадают? Это что же за админ там такой шибко мудрый? Нарушено главное правило безопасности и вот она - расплата.

Теперь только сложность с дампом NTLM хешей юзеров домена

Обратись к связке (потому что pwdump7 не умеет вытаскивать хешированные пароли из памяти)
pwdump7+gsecdump

Другой вариант:
сделай снимок системы ntdsutil

Ссылка скрыта от гостей

А для извлечения хэшей из скопированного таким образом ntds.dit достаточно банального Windows Password Recovery Tool
Весь указанный мной софт легко находится в свободном доступе.
И всё - вуа-ля!

 

[ArthurPatriot]

Гм... Выходит, что локальный админ и доменный - суть одно и то же? Т.е. пароли совпадают? Это что же за админ там такой шибко мудрый? Нарушено главное правило безопасности и вот она - расплата.

Обратись к связке (потому что pwdump7 не умеет вытаскивать хешированные пароли из памяти)
pwdump7+gsecdump

Другой вариант:
сделай снимок системы ntdsutil
***Скрытый текст***
А для извлечения хэшей из скопированного таким образом ntds.dit достаточно банального Windows Password Recovery Tool
Весь указанный мной софт легко находится в свободном доступе.
И всё - вуа-ля!

Я же писал, что в Windows 2000 нету теневого копирования. И вытянуть файлик AD не выходит....

 

[Alex_cmx]

Гм... Выходит, что локальный админ и доменный - суть одно и то же? Т.е. пароли совпадают? Это что же за админ там такой шибко мудрый? Нарушено главное правило безопасности и вот она - расплата.

Обратись к связке (потому что pwdump7 не умеет вытаскивать хешированные пароли из памяти)
pwdump7+gsecdump

Другой вариант:
сделай снимок системы ntdsutil

Ссылка скрыта от гостей

А для извлечения хэшей из скопированного таким образом ntds.dit достаточно банального Windows Password Recovery Tool
Весь указанный мной софт легко находится в свободном доступе.
И всё - вуа-ля!

Comrade! Программа после установки не запускается. Есть альтернативы?