Quindi questo articolo includerà concetti teorici forniti con esempi pratici dimostrati video.
Tabella dei contenuti
1. Introduzione
2-Enumerazione di Active Directory
3- Enumerazione di utenti, gruppi e computer
4- Enumerazione degli utenti registrati e delle sessioni attive
5- Dumping degli hash delle password
6- Escalation dei privilegi e movimenti laterali con la tecnica del pass the hash
7-Stabilire la persistenza e mantenere l'accesso con i biglietti dorati Kerberos
Ottieni le note sul certificato OSCP
1. Introduzione
Active Directory è installato principalmente su Windows Server ed è costituito da diversi componenti tra cui il controller di dominio che è considerato la workstation dell'amministratore.
Quando installi Active Directory per la prima volta, ti viene richiesto di creare un dominio per la tua organizzazione, ad esempio azienda.com, quindi tutti i computer dell'organizzazione si uniranno a questo dominio per diventare parte della struttura di Active Directory. Alla fine avrai un amministratore di dominio e sotto di esso ci sono utenti, computer e gruppi.
Gli amministratori raggrupperebbero gli utenti in base alla loro unità organizzativa. Ad esempio, ci sarebbero IT, Risorse umane, Finanza, Vendite e così via.
Enumerazione di Active Directory
L'enumerazione di Active Directory inizia con l'acquisizione di conoscenze sugli utenti, sui gruppi e sui computer esistenti allo scopo di individuare gruppi di alto valore come gli amministratori di dominio e scoprire quali sono i membri connessi.
Nella maggior parte dei casi e durante i test di penetrazione, avrai già ottenuto l'accesso a una macchina che fa parte del controller di dominio e da questa macchina utilizzerai diversi strumenti e script per eseguire l'enumerazione.
Negli scenari seguenti, avremo due macchine: una è la workstation Windows che abbiamo appena compromesso e l'altra è Windows Server 2012, ovvero il controller di dominio a cui dobbiamo rivolgerci.
Enumerazione di utenti, gruppi e computer
Nel video seguente abbiamo utilizzato lo script PowerShell per enumerare utenti, gruppi, appartenenze e relative autorizzazioni. Questo ci ha fornito una mappa completa della gerarchia di Active Directory e ci ha aperto la strada per decidere quale sarà il nostro prossimo obiettivo
Una nota importante è che affinché il metodo spiegato nel video funzioni è necessario comprendere come funzionano i percorsi del provider LDAP e il ricercatore di directory per modificare lo script secondo necessità per enumerare diversi aspetti
Enumerazione degli utenti registrati, delle sessioni attive e dei nomi delle entità servizio
Il passaggio successivo del processo consiste nell'individuare coloro che hanno effettuato l'accesso all'attuale workstation compromessa. Se lo facciamo, saremo in grado di scaricare gli hash delle password di questi utenti e utilizzarli per eseguire l'escalation dei privilegi sulla macchina Windows corrente che fa parte del controller di dominio.
Inoltre possiamo enumerare gli utenti attualmente registrati e le sessioni attive sul controller di dominio che ci consentiranno di determinare a chi possiamo rivolgerci tra gli amministratori di dominio.
L'enumerazione di quanto sopra menzionato si basa su due API di Windows. NetSessionEnum e NetWkstaUserEnum. NetWkstaUserEnum richiede autorizzazioni di privilegi amministrativi e restituisce un elenco di utenti registrati su una workstation di destinazione, ma NetSessionEnum restituisce le sessioni attive sui server esistenti come file server e controller di dominio.
Per realizzare ciò utilizzeremmo Scritta Powerview
Veniamo ora ai nomi principali del servizio. I nomi dell'entità servizio rappresentano l'associazione o la connessione tra un server specifico e un account di servizio. Considerali come identificatori che identificano un account di servizio su un server esistente come un server HTTP, DNS o FTP.
Possiamo enumerare gli SPN su un server per scoprire l'indirizzo IP e i numeri di porta associati al servizio utilizzato. Esempio di enumerazione della presenza del server IIS in esecuzione sul controller di dominio.
Guarda il video qui sotto per la parte pratica di questa sezione
Dumping degli hash delle password
Poiché Windows archivia una copia degli hash delle password nella cache di memoria, possiamo utilizzare mimikatz per scaricare tutti gli hash delle password della workstation che abbiamo compromesso. Questi hash possiamo crackarli per ottenere la password in chiaro o riutilizzarli per altri scopi.
Tuttavia, poiché gli hash delle password sono gestiti dal processo LSASS che viene eseguito come SYSTEM, abbiamo bisogno delle autorizzazioni SYSTEM per accedere agli hash delle password, il che ha senso elevare i nostri privilegi prima di qualsiasi tentativo di dump della password.
Mimikaz ha molti moduli per scaricare gli hash delle password, tra cui sekurlsa::logonpasswords
Il video qui sotto lo illustra,
Escalation di privilegi e movimenti laterali con la tecnica del pass the hash
Finora abbiamo imparato come enumerare la directory attiva, acquisito conoscenza degli utenti registrati e delle sessioni attive e scaricato gli hash delle password della workstation. Il passo successivo sarebbe utilizzare tutto ciò che abbiamo e ottenere l'accesso privilegiato al controller di dominio.
Lo facciamo con una tecnica chiamata Overpass the Hash.
Questa tecnica si basa sull'abuso dell'hash dell'utente NTLM e sulla sua conversione in un ticket Kerberos autenticato che ci garantisce l'accesso al computer di destinazione che nel nostro caso è il controller di dominio.
Una condizione affinché questo attacco funzioni è che l'amministratore del controller di dominio debba avere il proprio hash NTLM archiviato nella cache di memoria del computer Windows che abbiamo compromesso, il che significa che deve aver effettuato l'accesso al computer Windows in passato affinché ciò accada .
Supponendo che lo abbiano fatto, possiamo scaricare i loro hash e utilizzare mimikatz per convertirli in un ticket Kerberos per creare un processo PowerShell nel contesto dell'utente amministratore del controller di dominio.
Quindi utilizzeremmo PsExec.exe per ottenere l'accesso al prompt dei comandi al controller di dominio come amministratore
Il video qui sotto lo dimostra
Stabilire la persistenza e mantenere l'accesso con i biglietti dorati Kerberos
I biglietti dorati sono biglietti autoprodotti che creiamo dopo aver ottenuto l'accesso amministrativo o il cmd amministrativo sul controller di dominio per stabilire un nuovo utente falso e mantenere il nostro accesso.
I biglietti d'oro utilizzano l'identificatore di dominio e l'hash NTLM di krbtgt che è un account utilizzato per creare la chiave segreta per crittografare il TGT durante l'autenticazione kerebros.
Il video qui sotto lo dimostra
Spero di esserti stato utile e non dimenticare di iscriverti al mio canale per ulteriori contenuti