HTB Mirage. Захватываем домен Active Directory через ESC10 ADCS

Содержание статьи

Разведка
Сканирование портов
Точка входа
Точка опоры
Продвижение
Локальное повышение привилегий

Сегодня я покажу на примере, как применять технику ESC10 для повышения привилегий в домене Active Directory. Начнем с того, что соберем информацию с сервера NFS и создадим свой сервер NATS для перехвата учеток. В логах NATS найдем учетную запись домена. После эксплуатации разрешений ACL скомпрометируем учетную запись gMSA.

Наша конечная цель — получение прав суперпользователя на машине Mirage с учебной площадки Hack The Box. Уровень задания — сложный.

warning

Подключаться к машинам с HTB рекомендуется с применением средств анонимизации и виртуализации. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.

Разведка

Сканирование портов

Добавляем IP-адрес машины в /etc/hosts:

10.10.11.78    mirage.htb

И запускаем сканирование портов.

Справка: сканирование портов

Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.

Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1

Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).

Сканер нашел 14 открытых портов:

88 — Kerberos;
порты 111 и 2049 — служба NFS;
135 — Microsoft RPC;
139 — служба сеансов NetBIOS, NetLogon;
389 — LDAP;
445 — SMB;
464 — служба смены пароля Kerberos;
593 (HTTP-RPC-EPMAP) — используется в службах DCOM и MS Exchange;
636 — LDAP с шифрованием SSL или TLS;
3268 (LDAP) — для доступа к Global Catalog от клиента к контроллеру;
3269 (LDAPS) — для доступа к Global Catalog от клиента к контроллеру через защищенное соединение;
4222 — сервер NATS;
5985 — WinRM.

Обновим запись в файле /etc/hosts.

10.10.11.78 mirage.htb dc01.mirage.htb

Точка входа

Для начала проверим, какие ресурсы доступны на NFS-сервере.

showmount -e 10.10.11.78

Монтируем каталог /MirageReports с NFS‑сервера и просматриваем содержимое.

mkdir /tmp/mirage
sudo mount -t nfs 10.10.11.78:/MirageReports /tmp/mirage

Там всего два PDF-документа. Сохраняем их на локальную машину и изучаем. В первом говорится, что нет DNS-записи nats-svc.mirage.htb, важной для внутренних сервисов. А второй раскрывает, что в домене используется только аутентификация Kerberos.

Содержимое документа Incident_Report_Missing_DNS_Record_nats-svc.pdf

Содержимое документа Mirage_Authentication_Hardening_Report.pdf

Сначала обновим содержимое файла /etc/krb5.conf, чтобы включить аутентификацию Kerberos.

[domain_realm]
    .mirage.htb = MIRAGE.HTB
    mirage.htb = MIRAGE.HTB
[libdefaults]
    default_realm = MIRAGE.HTB
    dns_lookup_realm = false
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    forwardable = true
[realms]
    MIRAGE.HTB = {
        kdc = DC01.MIRAGE.HTB
        admin_server = DC01.MIRAGE.HTB
        default_domain = MIRAGE.HTB
    }

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

← Ранее В Grafana исправили критическую уязвимость, позволявшую выдать себя за администратора

Далее → Nvidia: октябрьские обновления Windows вызывают проблемы в играх