2. HackTheBox. Level Easy: Проходження Sauna. LDAP, AS-REP Roasting, AutoLogon, DCSync атака

5 грудня 2024 1 хвилина Автор: Lady Liberty

Стаття присвячена детальному розбору проходження віртуальної машини «Sauna». Цей матеріал стане в нагоді як новачкам, так і досвідченим фахівцям у сфері кібербезпеки, які хочуть покращити свої навички тестування на проникнення. Ви дізнаєтеся, як ефективно застосовувати інструменти для розвідки (Nmap, masscan), аналізу служби LDAP, а також проведення атак AS-REP Roasting та DCSync.

Покроковий розбір взлому «Sauna»

У статті розглядається пошук діючих користувачів через LDAP, робота з даними автологіна, а також виконання атак AS-REP Roasting і DCSync для отримання облікових даних.

Підключення до лабораторії здійснюється через VPN. Не рекомендується використовувати робочий комп’ютер або пристрій, що містить важливі дані, оскільки підключення відбувається до приватної мережі, де присутні користувачі з досвідом у сфері інформаційної безпеки.

Recon

Машині призначено IP-адресу 10.10.10.175, яка додається до файлу /etc/hosts.

10.10.10.175	sauna.htb

Спочатку виконується сканування відкритих портів. Оскільки сканування всіх портів за допомогою Nmap може зайняти багато часу, використовуємо masscan для прискорення процесу. Скануються всі TCP та UDP порти з інтерфейсу tun0 зі швидкістю 500 пакетів на секунду.

masscan -e tun0 -p1-65535,U:1-65535 10.10.10.175     --rate=500

На хості відкрито багато портів. Тепер проскануємо їх за допомогою nmap, щоб відфільтрувати та вибрати потрібні.

nmap sauna.htb -p53,593,49690,80,135,49670,88,3269,139,464,389,9389,445,49669,49667,3268,50956,636,5985

Для отримання більш детальної інформації про сервіси, які працюють на відкритих портах, запускається сканування з опцією -A в Nmap. Це дозволяє визначити версії програмного забезпечення, операційну систему, а також виявити додаткові уразливості на службах.

nmap -A sauna.htb -p53,80,88,135,139,389,445,464,593,636,3268,3269,5985,9389

На хості працює багато служб, тому першочергово слід зосередитися на аналізі сервісів WEB, SMB та DNS. Для роботи з LDAP використовуємо ldap-браузер JXplorer, оскільки він зручний для перегляду та аналізу LDAP-даних, що дозволяє ефективно взаємодіяти з цими сервісами та отримувати потрібну інформацію.

Імовірно, ім’я користувача.

Заходимо на WEB і знаходимо персонал компанії.

Є список можливих користувачів, але невідомо, у кого з них є обліковий запис і як він називається. Проте за допомогою LDAP було знайдено користувача, у якого точно є обліковий запис. Тепер складається список можливих імен цього запису.

Для перевірки наявності облікового запису можна спробувати виконати атаку AS-REP Roasting. Якщо облікового запису в системі немає, отримаємо відповідне повідомлення. Якщо ж обліковий запис існує, результат атаки залежатиме від прапора DONT_REQ_PREAUTH в UAC цього запису, що вказує, чи потрібна попередня автентифікація Kerberos. Атаку можна здійснити за допомогою скрипта GetNPUsers з пакету impacket.

Таким чином, у користувача Hugo Smith є обліковий запис hsmith.

USER

На основі того, що адміністратори намагаються дотримуватися загального принципу угоди про імена користувачів, складається список можливих облікових записів для інших користувачів.

І повторимо атаку даних користувачів.

Серед усіх користувачів обліковий запис має лише один, і атака успішно проходить, в результаті чого отримуємо хеш пароля користувача. Тепер застосовуємо метод брутфорсу для його розкриття.

Пароль успішно знайдено. З численних способів використання облікових даних обираємо службу віддаленого управління (WinRM). Для підключення використовуємо Evil-Winrm.

І беремо користувача.

USER2

Для збору інформації на хості можна використати скрипти для початкового перерахування, зокрема найповніший — winPEAS. Завантажуємо цей скрипт на цільовий хост і запускаємо його.

Серед інформації, яку він виводить, знаходимо дані автологіну.

Однак при спробі підключення виникає невдача.

Повертаємось і перевіряємо, які облікові записи зареєстровані в системі. Знаходимо ім’я облікового запису для цього користувача.

ROOT

Після підключення та виконання кількох перерахувань, завантажуємо на хост SharpHound.

І виконаємо.

У поточній директорії з’явиться архів, завантажуємо його.

І закидаємо у BloodHound.

Таким чином, ми маємо зв’язок GetChangesAll, через який можна отримати відповідну інформацію.

У наведеному повідомленні йдеться про привілей DS-Replication-Get-Changes-All, що дозволяє запитати реплікацію критично важливих даних з контролера домену. Це можна зробити за допомогою пакету impacket.

Ми отримали хеш адміністратора. За допомогою Evil-Winrm можна підключитися, використовуючи цей хеш.

Отже, ми отримуємо доступ до облікового запису адміністратора.

Висновок

Стаття описує процес зламу віртуальної машини «Sauna». Спочатку здійснюється сканування комп’ютера на наявність відкритих портів для виявлення працюючих сервісів. Потім за допомогою LDAP знаходяться користувачі в системі і проводиться атака для отримання паролів. Після отримання пароля здійснюється підключення до машини через спеціальний інструмент WinRM. Далі збирається додаткова інформація про систему за допомогою скрипта для підвищення привілеїв і отримання доступу до облікового запису адміністратора. У результаті вдається отримати контроль над системою. Це покроковий посібник, який пояснює, як тестувати безпеку комп’ютерних систем.

Інші статті по темі
CTF та райтапи
Читати далі
3. HackTheBox. Level Easy: Проходження Nest. NTFS потоки, реверс C# та бродилка по SMB
Читач дізнається, як використовувати сучасні інструменти для сканування мережі (nmap, masscan), досліджувати SMB-ресурси, аналізувати приховані дані в альтернативних потоках NTFS і проводити реверс-інжиніринг C#-додатків.
269
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.