Се­год­ня покажу инте­рес­ный при­мер экс­плу­ата­ции свя­зан­ных сер­веров Microsoft SQL Server. Мы шаг за шагом прой­дем зак­репле­ние через агент, извле­чение учет­ных дан­ных через AD CS, обход огра­ниче­ний и повыше­ние при­виле­гий до SYSTEM, а затем уви­дим, как с помощью доверия меж­ду домена­ми и DCSync добить­ся пол­ного кон­тро­ля над инфраструк­турой.

На­ша конеч­ная цель — получить пра­ва супер­поль­зовате­ля на машине DarkZero с учеб­ной пло­щад­ки Hack The Box. Уро­вень задания — слож­ный.

warning

Под­клю­чать­ся к машинам на HTB луч­ше через средс­тва ано­ними­зации и вир­туали­зации. Не делай это­го с компь­юте­ров, где хра­нят­ся важ­ные для тебя дан­ные: ты ока­жешь­ся в одной сети с дру­гими учас­тни­ками.

 

Разведка

 

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.10.11.89 darkzero.htb

На этот раз нам пре­дос­тавля­ют не толь­ко IP-адрес машины, но и учет­ные дан­ные с пра­вами поль­зовате­ля домена.

Информация о машине
Ин­форма­ция о машине

За­пус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг в любой ата­ке. Оно поз­воля­ет зло­умыш­ленни­ку узнать, какие служ­бы на хос­те при­нима­ют соеди­нения. На осно­ве этой информа­ции он выбира­ет сле­дующий шаг, что­бы получить точ­ку вхо­да.

Са­мый извес­тный инс­тру­мент для ска­ниро­вания — Nmap. Улуч­шить резуль­таты его работы поможет сле­дующий скрипт:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1

Он работа­ет в два эта­па. Сна­чала запус­кает­ся быс­трое ска­ниро­вание, затем — более тща­тель­ное, с помощью встро­енных скрип­тов (опция -A).

Под­робнее про работу с Nmap читай в статье «Nmap с самого начала. Осва­иваем раз­ведку и ска­ниро­вание сети».

Результат работы скрипта
Ре­зуль­тат работы скрип­та

Ска­нер нашел 11 откры­тых пор­тов:

  • 88 — Kerberos;
  • 139 — служ­ба сеан­сов NetBIOS, Netlogon;
  • 389 — LDAP;
  • 445 — SMB;
  • 464 — служ­ба сме­ны пароля Kerberos;
  • 593 (HTTP-RPC-EPMAP) — исполь­зует­ся служ­бами DCOM и Microsoft Exchange;
  • 636 — LDAP через SSL или TLS;
  • 1433 — Microsoft SQL Server;
  • 3268 (LDAP) — дос­туп кли­ента к Global Catalog на кон­трол­лере;
  • 3269 (LDAPS) — дос­туп кли­ента к Global Catalog на кон­трол­лере через защищен­ное соеди­нение;
  • 5985 — WinRM.
 

Точка входа

Про­верим получен­ные учет­ные дан­ные с помощью NetExec.

nxc smb 10.10.11.89 -u john.w -p 'RFulUtONCOL!'
Проверка учетных данных
Про­вер­ка учет­ных дан­ных

По­лучив спи­сок поль­зовате­лей и дос­тупные шары, ничего инте­рес­ного не находим, поэто­му перей­дем к сбо­ру информа­ции о домене с помощью BloodHound.

Справка: BloodHound

Ути­лита BloodHound исполь­зует теорию гра­фов для выяв­ления скры­тых и зачас­тую неп­редна­мерен­ных вза­имос­вязей в сре­де Active Directory. Ее мож­но исполь­зовать, что­бы лег­ко иден­тифици­ровать очень слож­ные пути ата­ки. Помимо самой ути­литы, которая поз­воля­ет прос­матри­вать граф, сущес­тву­ет часть, заг­ружа­емая на уда­лен­ный хост для сбо­ра информа­ции. Она быва­ет в вер­сиях для раз­ных ОС и на раз­ных язы­ках прог­рамми­рова­ния.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии