
Стаття присвячена детальному розбору проходження віртуальної машини «Sauna». Цей матеріал стане в нагоді як новачкам, так і досвідченим фахівцям у сфері кібербезпеки, які хочуть покращити свої навички тестування на проникнення. Ви дізнаєтеся, як ефективно застосовувати інструменти для розвідки (Nmap, masscan), аналізу служби LDAP, а також проведення атак AS-REP Roasting та DCSync.
У статті розглядається пошук діючих користувачів через LDAP, робота з даними автологіна, а також виконання атак AS-REP Roasting і DCSync для отримання облікових даних.
Підключення до лабораторії здійснюється через VPN. Не рекомендується використовувати робочий комп’ютер або пристрій, що містить важливі дані, оскільки підключення відбувається до приватної мережі, де присутні користувачі з досвідом у сфері інформаційної безпеки.
Машині призначено IP-адресу 10.10.10.175, яка додається до файлу /etc/hosts
.
10.10.10.175 sauna.htb
Спочатку виконується сканування відкритих портів. Оскільки сканування всіх портів за допомогою Nmap може зайняти багато часу, використовуємо masscan для прискорення процесу. Скануються всі TCP та UDP порти з інтерфейсу tun0 зі швидкістю 500 пакетів на секунду.
masscan -e tun0 -p1-65535,U:1-65535 10.10.10.175 --rate=500
На хості відкрито багато портів. Тепер проскануємо їх за допомогою nmap, щоб відфільтрувати та вибрати потрібні.
nmap sauna.htb -p53,593,49690,80,135,49670,88,3269,139,464,389,9389,445,49669,49667,3268,50956,636,5985
Для отримання більш детальної інформації про сервіси, які працюють на відкритих портах, запускається сканування з опцією -A
в Nmap. Це дозволяє визначити версії програмного забезпечення, операційну систему, а також виявити додаткові уразливості на службах.
nmap -A sauna.htb -p53,80,88,135,139,389,445,464,593,636,3268,3269,5985,9389
На хості працює багато служб, тому першочергово слід зосередитися на аналізі сервісів WEB, SMB та DNS. Для роботи з LDAP використовуємо ldap-браузер JXplorer, оскільки він зручний для перегляду та аналізу LDAP-даних, що дозволяє ефективно взаємодіяти з цими сервісами та отримувати потрібну інформацію.
Імовірно, ім’я користувача.
Заходимо на WEB і знаходимо персонал компанії.
Таким чином, у користувача Hugo Smith є обліковий запис hsmith.
На основі того, що адміністратори намагаються дотримуватися загального принципу угоди про імена користувачів, складається список можливих облікових записів для інших користувачів.
І повторимо атаку даних користувачів.
Серед усіх користувачів обліковий запис має лише один, і атака успішно проходить, в результаті чого отримуємо хеш пароля користувача. Тепер застосовуємо метод брутфорсу для його розкриття.
Пароль успішно знайдено. З численних способів використання облікових даних обираємо службу віддаленого управління (WinRM). Для підключення використовуємо Evil-Winrm.
І беремо користувача.
Для збору інформації на хості можна використати скрипти для початкового перерахування, зокрема найповніший — winPEAS. Завантажуємо цей скрипт на цільовий хост і запускаємо його.
Серед інформації, яку він виводить, знаходимо дані автологіну.
Однак при спробі підключення виникає невдача.
Повертаємось і перевіряємо, які облікові записи зареєстровані в системі. Знаходимо ім’я облікового запису для цього користувача.
Після підключення та виконання кількох перерахувань, завантажуємо на хост SharpHound.
І виконаємо.
У поточній директорії з’явиться архів, завантажуємо його.
І закидаємо у BloodHound.
Таким чином, ми маємо зв’язок GetChangesAll, через який можна отримати відповідну інформацію.
У наведеному повідомленні йдеться про привілей DS-Replication-Get-Changes-All, що дозволяє запитати реплікацію критично важливих даних з контролера домену. Це можна зробити за допомогою пакету impacket.
Отже, ми отримуємо доступ до облікового запису адміністратора.
Стаття описує процес зламу віртуальної машини «Sauna». Спочатку здійснюється сканування комп’ютера на наявність відкритих портів для виявлення працюючих сервісів. Потім за допомогою LDAP знаходяться користувачі в системі і проводиться атака для отримання паролів. Після отримання пароля здійснюється підключення до машини через спеціальний інструмент WinRM. Далі збирається додаткова інформація про систему за допомогою скрипта для підвищення привілеїв і отримання доступу до облікового запису адміністратора. У результаті вдається отримати контроль над системою. Це покроковий посібник, який пояснює, як тестувати безпеку комп’ютерних систем.