في هذه التدوينة سنغطي إجابات حاولHackMe اختراق غرفة الدليل النشط بالإضافة إلى توضيح مفاهيم اختبار اختراق Active Directory.

ملاحظات دراسة OSCP

ملاحظات دراسة الأمن السيبراني

طرق حصاد بيانات اعتماد الدليل النشط

قبل أن نتمكن من استغلال تكوينات AD الخاطئة لتصعيد الامتيازات والحركة الجانبية وتنفيذ الهدف، فإنك تحتاج إلى الوصول الأولي أولاً. تحتاج إلى الحصول على مجموعة أولية من بيانات اعتماد AD الصالحة. نظرًا لعدد خدمات وميزات AD، عادةً ما يكون سطح الهجوم للحصول على مجموعة أولية من بيانات اعتماد AD مهمًا.

عند البحث عن المجموعة الأولى من بيانات الاعتماد، فإننا لا نركز على الأذونات المرتبطة بالحساب؛ وبالتالي، فحتى الحساب ذو الامتيازات المنخفضة سيكون كافيًا. نحن نبحث فقط عن طريقة للمصادقة على AD، مما يسمح لنا بإجراء مزيد من التعداد على AD نفسه.

الأساليب التالية لاستعادة بيانات اعتماد AD في الشبكة:

  • خدمات NTLM المصادق عليها
  • LDAP ربط بيانات الاعتماد
  • مرحلات المصادقة
  • مجموعة أدوات النشر من Microsoft
  • ملفات التكوين

فهم NTLM وNetNTLM

مجموعة بروتوكولات الأمان التي تسمى New Technology LAN Manager (NTLM) هي ما يسمح للمستخدمين بالتحقق من صحة هوياتهم في Active Directory. NetNTLM هي طريقة تعتمد على التحدي والاستجابة وتستفيد من NTLM للمصادقة. تستفيد الخدمات الموجودة على الشبكة من تقنية المصادقة هذه بشكل مكثف. ومع ذلك، قد تكون الخدمات التي تستخدم NetNTLM مفتوحة أيضًا للإنترنت. فيما يلي بعض الأمثلة المعروفة:

  • خوادم Exchange (Mail) المستضافة داخليًا والتي توفر صفحة تسجيل دخول إلى Outlook Web App (OWA).
  • خدمة بروتوكول سطح المكتب البعيد (RDP) الخاصة بالخادم والمتوفرة عبر الإنترنت.
  • تم الإعلان عن نقاط نهاية VPN التي كانت متصلة بـ AD.
  • تطبيقات الويب التي تستخدم NetNTLM ويمكن الوصول إليها عبر الإنترنت.

يسمح NetNTLM، والذي يشار إليه غالبًا باسم مصادقة Windows أو مصادقة NTLM فقط، للتطبيق بلعب دور الوسيط بين العميل وAD. عند إجراء التحدي بنجاح، يتم إرسال جميع مواد المصادقة إلى وحدة تحكم المجال، وسيقوم التطبيق بمصادقة المستخدم.

وهذا يعني أن التطبيق يقوم بالمصادقة نيابة عن المستخدم ولا يقوم بالمصادقة على المستخدم مباشرة على التطبيق نفسه. يمنع هذا التطبيق من تخزين بيانات اعتماد AD، والتي يجب تخزينها فقط على وحدة تحكم المجال.

بيانات الاعتماد هجمات القوة الغاشمة على Active Directory

توفر هذه الخدمات المكشوفة مكانًا رائعًا لاختبار بيانات الاعتماد التي تم العثور عليها بطرق أخرى. لاسترداد المجموعة الأولى من بيانات اعتماد AD الشرعية، يمكن أيضًا الوصول إلى هذه الخدمات مباشرةً. إذا تمكنا أثناء الاستطلاع الأول للفريق الأحمر من استعادة معلومات مثل عناوين البريد الإلكتروني العاملة، فقد نحاول استخدامها لشن هجمات القوة الغاشمة.

لن نكون قادرين على تنفيذ هجوم كامل بالقوة الغاشمة لأن تأمين الحساب يتم تنفيذه في غالبية بيئات AD. بدلاً من ذلك، يجب علينا تنفيذ هجوم رش كلمة المرور. بدلاً من تجربة عدد من كلمات المرور المختلفة، والتي يمكن أن تؤدي إلى تفعيل آلية قفل الحساب، نختار كلمة مرور واحدة، ونستخدمها، ونحاول المصادقة مع كل اسم مستخدم قمنا بجمعه. ومع ذلك، تجدر الإشارة إلى أنه نظرًا لعدد محاولات المصادقة غير الناجحة التي ستنتجها هذه الهجمات، يمكن التعرف عليها واكتشافها.

وصف المهمة

لقد تم تزويدك بقائمة بأسماء المستخدمين التي تم اكتشافها أثناء تمرين OSINT للفريق الأحمر. أشار تمرين OSINT أيضًا إلى كلمة المرور الأولية للمؤسسة، والتي يبدو أنها "Changeme123". على الرغم من أنه يجب على المستخدمين دائمًا تغيير كلمة المرور الأولية الخاصة بهم، إلا أننا نعلم أن المستخدمين غالبًا ما ينسونها. سنستخدم برنامجًا نصيًا تم تطويره خصيصًا لتنظيم عملية رش كلمة المرور على تطبيق الويب المستضاف على عنوان URL هذا: http://ntlmauth.za.tryhackme.com.

إذا كنت تستخدم AttackBox، فسيتم توفير البرنامج النصي لرش كلمة المرور والملف النصي لأسماء المستخدمين ضمن ملف /جذر/غرف/BreachingAD/task3/ الدليل. يمكننا تشغيل البرنامج النصي باستخدام الأمر التالي:

بايثون ntlm_passwordspray.py -u -F -ص -أ

نحن نقدم القيم التالية لكل من المعلمات:

  • <userfile> - ملف نصي يحتوي على أسماء المستخدمين لدينا - "أسماء المستخدمين.txt"
  • <fqdn> – اسم المجال المؤهل بالكامل المرتبط بالمنظمة التي نهاجمها – "za.tryhackme.com"
  • <password> - كلمة المرور التي نريد استخدامها لهجوم الرش لدينا - "غيرني123"
  • <attackurl> – عنوان URL للتطبيق الذي يدعم مصادقة Windows – "http://ntlmauth.za.tryhackme.com"

هجوم LDAP التمريري

مصادقة NTLM ومصادقة LDAP قابلة للمقارنة. ومن ناحية أخرى، يقوم البرنامج بالمصادقة على بيانات اعتماد المستخدم مباشرة أثناء استخدام مصادقة LDAP. يمكن للبرنامج الاستعلام عن LDAP باستخدام زوج من بيانات اعتماد AD قبل تأكيد بيانات اعتماد مستخدم AD.

الخدمات أدناه هي أمثلة على الخدمات التي تستخدم مصادقة LDAP

  • جيتلاب
  • جنكينز
  • تطبيقات الويب المطورة خصيصًا
  • الطابعات
  • شبكات VPN

إذا تمكنت من الحصول على موطئ قدم على المضيف الصحيح، مثل خادم Gitlab، فقد يكون الأمر بسيطًا مثل قراءة ملفات التكوين لاستعادة بيانات اعتماد AD هذه. غالبًا ما يتم تخزين بيانات الاعتماد هذه في نص عادي في ملفات التكوين نظرًا لأن نموذج الأمان يعتمد على الحفاظ على أمان ملف تكوين الموقع والتخزين بدلاً من محتوياته.

يمكن تنفيذ هجمات LDAP Pass-back عندما نتمكن من الوصول إلى تكوين الجهاز حيث يتم تحديد معلمات LDAP. يمكن أن يكون هذا، على سبيل المثال، واجهة الويب الخاصة بطابعة الشبكة. عادة، يتم الاحتفاظ ببيانات الاعتماد الخاصة بهذه الواجهات إلى الواجهات الافتراضية، مثل المشرف: المشرف أو كلمة سر المشرف.

هنا، لن نتمكن من استخراج بيانات اعتماد LDAP مباشرةً نظرًا لأن كلمة المرور تكون مخفية عادةً. ومع ذلك، يمكننا تغيير تكوين LDAP، مثل عنوان IP أو اسم المضيف لخادم LDAP.


في هجوم LDAP Pass-back، يمكننا تعديل عنوان IP هذا إلى IP الخاص بنا ثم اختبار تكوين LDAP، مما سيجبر الجهاز على محاولة مصادقة LDAP على أجهزتنا المارقة. يمكننا اعتراض محاولة المصادقة هذه لاستعادة بيانات اعتماد LDAP.

وصف المهمة

توجد طابعة شبكة في هذه الشبكة حيث لا يتطلب موقع الإدارة حتى بيانات الاعتماد. انتقل إلى http://printer.za.tryhackme.com/settings.aspx للعثور على صفحة الإعدادات الخاصة بالطابعة.

يمكنك متابعة الغرفة لتنفيذ أوامر هذه المهمة والحصول على الإجابات الموضحة أدناه.

فهم كتلة رسائل الخادم (SMB)

يمكن للعملاء (مثل محطات العمل) والخوادم (مثل مشاركات الملفات) التواصل مع بعضهم البعض عبر بروتوكول كتلة رسائل الخادم (SMB). يتحكم SMB في كل شيء في الشبكات التي تستخدم Microsoft AD، بما في ذلك الإدارة عن بعد ومشاركة الملفات عبر الشبكات. يعد بروتوكول SMB مسؤولاً أيضًا عن إشعار "نفاد الورق" الذي يظهر على جهاز الكمبيوتر الخاص بك عندما تحاول طباعة مستند.

ومع ذلك، فقد تقرر أن التكرارات السابقة لبروتوكول SMB كانت تفتقر إلى الأمان الكافي. تم العثور على العديد من العيوب والاستغلالات التي يمكن استخدامها لتنفيذ التعليمات البرمجية على الأجهزة أو حتى استرداد بيانات الاعتماد. على الرغم من أنه تم إصلاح بعض نقاط الضعف هذه في إصدارات البروتوكول الأحدث، إلا أن المؤسسات في كثير من الأحيان لا تفرض استخدام هذه الإصدارات لأن الأنظمة القديمة لا تدعمها. سنقوم بفحص هجومين متميزين لمصادقة NetNTLM المستندة إلى الشركات الصغيرة والمتوسطة:

  • نظرًا لإمكانية اعتراض تحديات NTLM، يمكننا استخدام تقنيات الاختراق دون الاتصال بالإنترنت لاستعادة كلمة المرور المرتبطة بتحدي NTLM. ومع ذلك، فإن عملية التكسير هذه أبطأ بشكل ملحوظ من تكسير تجزئات NTLM مباشرة.
  • يمكننا استخدام أجهزتنا المارقة لتنظيم هجوم متوسط، ونقل مصادقة SMB بين العميل والخادم، مما سيوفر لنا جلسة مصادقة نشطة وإمكانية الوصول إلى الخادم الهدف.

مهاجمة مجموعة أدوات نشر Microsoft

إحدى خدمات Microsoft التي تساعد في أتمتة نشر أنظمة تشغيل Microsoft (OS) هي Microsoft Deployment Toolkit (MDT). نظرًا لأنه يمكن تحديث الصور الأساسية وصيانتها مركزيًا، تستخدم المؤسسات الكبيرة خدمات مثل MDT للمساعدة في نشر الصور الجديدة في ممتلكاتها بشكل أكثر كفاءة.

عادةً ما يكون مدير تكوين مركز النظام (SCCM) من Microsoft، والذي يتحكم في كافة التحديثات لجميع خدمات Microsoft وأنظمة التشغيل والتطبيقات، متصلاً بـ MDT. لعمليات النشر الجديدة، يتم استخدام MDT. في الأساس، فهو يتيح التكوين المسبق لصورة التمهيد وإدارتها لموظفي تكنولوجيا المعلومات. ونتيجة لذلك، كل ما يتعين على المستخدمين القيام به لتكوين نظام جديد هو توصيل سلك الشبكة؛ والباقي يحدث من تلقاء نفسه. لديهم القدرة على تعديل صورة التمهيد بعدة طرق، بما في ذلك التثبيت المسبق لـ Office 365 وبرنامج مكافحة الفيروسات المفضل للشركة. بالإضافة إلى ذلك، قد يضمن أن التثبيت الأول الذي سيتم تشغيله يستخدم البنية التي تمت ترقيتها.

يمكن للمرء أن يعتبر SCCM هو الأخ الأكبر لـ MDT وعمليًا امتدادًا له. بعد تثبيت البرنامج ماذا يحدث له؟ على أية حال، يتعامل SCCM مع هذا النوع من الترقيع. إنه يمكّن جميع البرامج المثبتة في جميع أنحاء العقار من مراجعة الترقيات المتاحة من قبل فريق تكنولوجيا المعلومات. قبل تسليم هذه التغييرات مركزيًا إلى كل جهاز انضم إلى المجال، يمكن للفريق بالإضافة إلى ذلك اختبارها في إعداد وضع الحماية للتأكد من موثوقيتها. لقد أصبحت حياة فريق تكنولوجيا المعلومات أسهل بكثير بفضل ذلك.

ومن ناحية أخرى، قد يستهدف المهاجمون أي شيء يوفر إدارة مركزية للبنية التحتية، مثل MDT وSCCM، في محاولة للسيطرة على كميات كبيرة من المهام الحيوية داخل المنشأة. على الرغم من وجود طرق أخرى لإعداد MDT، فمن أجل هذه المهمة، سنركز فقط على التكوين المعروف باسم التمهيد Preboot Execution Environment (PXE).

يتم استخدام تمهيد PXE من قبل المؤسسات الكبيرة لتمكين الأجهزة الجديدة المتصلة بالشبكة من تحميل نظام التشغيل وتثبيته مباشرة عبر اتصال الشبكة. يمكن إنشاء صور تمهيد PXE وإدارتها واستضافتها باستخدام MDT. نظرًا لأن تمهيد PXE يتكامل عادةً مع DHCP، يُسمح للمضيف بطلب صورة تمهيد PXE وبدء إجراء تثبيت نظام تشغيل الشبكة إذا منح DHCP عقد إيجار IP.

بعد انتهاء الإجراء، سيقوم العميل بتنزيل صورة تمهيد PXE عبر اتصال TFTP. يمكن استخدام صورة التمهيد PXE لغرضين مختلفين:

بعد الانتهاء من تمهيد PXE، أدخل متجه تصعيد الامتيازات، مثل حساب المسؤول المحلي، للحصول على حق الوصول الإداري إلى نظام التشغيل.
استخدم تقنيات استخراج كلمة المرور للحصول على بيانات اعتماد AD التي تم استخدامها للتثبيت.

وصف المهمة

أول جزء من المعلومات المتعلقة بالتكوين المسبق لـ PXE Boot الذي كنت ستتلقاه عبر DHCP هو عنوان IP الخاص بخادم MDT. في حالتنا، يمكنك استرداد تلك المعلومات من مخطط شبكة TryHackMe.

المعلومة الثانية التي كنت ستتلقاها هي أسماء ملفات BCD. تقوم هذه الملفات بتخزين المعلومات ذات الصلة بـ PXE Boots لأنواع الهندسة المختلفة. للحصول على هذه المعلومات، سوف تحتاج إلى الاتصال بهذا الموقع: http://pxeboot.za.tryhackme.com. وسوف يسرد ملفات BCD المختلفة:

عادةً، يمكنك استخدام TFTP لطلب كل ملف من ملفات BCD هذه وتعداد التكوين الخاص بها جميعًا. ومع ذلك، ولصالح الوقت، سنركز على ملف BCD الخاص بملف x64 بنيان. انسخ الاسم الكامل لهذا الملف وقم بتخزينه. بالنسبة لبقية هذا التمرين، سنستخدم هذا العنصر النائب للاسم x64{7B...B3}.bcd حيث يتم إعادة إنشاء الملفات وأسمائها بواسطة MDT كل يوم. في كل مرة ترى هذا العنصر النائب، تذكر استبداله باسم ملف BCD المحدد الخاص بك. لاحظ أيضًا أنه إذا كانت الشبكة قد بدأت للتو، فلن يتم تحديث أسماء الملفات هذه إلا بعد 10 دقائق من تنشيط الشبكة.

مع هذه المعلومات الأولية التي تم استردادها الآن من DHCP (Wink Wink)، يمكننا تعداد واسترجاع صورة تمهيد PXE. سنستخدم اتصال SSH الخاص بنا على THMJMP1 للخطوات التالية، لذا يرجى المصادقة على جلسة SSH هذه باستخدام ما يلي:

thm@THMJMP1.za.tryhackme.com

وكلمة المرور كلمة المرور1@.

اتبع تعليمات الغرفة حتى تحصل على الإجابات الموضحة أدناه

حصاد بيانات اعتماد Active Directory من ملفات التكوين

 لنفترض أنك كنت محظوظًا بما يكفي لإحداث اختراق يتيح لك الوصول إلى مضيف على شبكة المؤسسة.
 في هذه الحالة، تعد ملفات التكوين وسيلة ممتازة للاستكشاف في محاولة لاستعادة بيانات اعتماد AD.
 
تحتوي ملفات التكوين الموجودة أدناه عادةً على العديد من بيانات اعتماد AD.

  • ملفات تكوين تطبيق الويب
  • ملفات تكوين الخدمة
  • مفاتيح التسجيل
  • التطبيقات المنتشرة مركزيًا

على سبيل المثال، يقوم McAfee بتضمين بيانات الاعتماد المستخدمة أثناء التثبيت للاتصال مرة أخرى بالمنسق في ملف يسمى ma.db. يمكن استرداد ملف قاعدة البيانات هذا وقراءته من خلال الوصول المحلي إلى المضيف لاستعادة حساب خدمة AD المرتبط ومن خلال الأمر أدناه يمكننا فتح ملف قاعدة البيانات

متصفح sqlite ma.db

إجابات الغرفة | حاولHackMe اختراق الدليل النشط

ما هو موقع الويب الشهير الذي يمكن استخدامه للتحقق مما إذا كان عنوان بريدك الإلكتروني أو كلمة المرور الخاصة بك قد تم كشفهما في أي وقت مضى في عملية خرق بيانات تم الكشف عنها علنًا؟

HaveIBeenPwned

ما هي حالة الوكلاء؟ ما هو اسم آلية مصادقة التحدي والاستجابة التي تستخدم NTLM؟

NetNtlm

ما هو اسم المستخدم لزوج بيانات الاعتماد الصالح الثالث الذي تم العثور عليه بواسطة البرنامج النصي لرش كلمة المرور؟

جوردون ستيفنز

كم عدد أزواج بيانات الاعتماد الصالحة التي تم العثور عليها بواسطة البرنامج النصي لرش كلمة المرور؟

4

ما هي الرسالة التي يعرضها تطبيق الويب عند المصادقة باستخدام زوج صالح من بيانات الاعتماد؟

مرحبا بالعالم

ما نوع الهجوم الذي يمكن تنفيذه ضد أنظمة مصادقة LDAP التي لا توجد عادةً ضد أنظمة مصادقة Windows؟

هجوم LDAP التمريري

ما التطبيق الذي نستخدمه على Linu؟ ما هي آليتي المصادقة اللتين نسمح لهما على خادم LDAP المخادع الخاص بنا بتخفيض مستوى المصادقة وجعلها نصًا واضحًا؟

تسجيل الدخول، عادي

ما هي كلمة المرور المرتبطة بحساب svcLDAP؟

جربhackmeldappass1@

ما هو اسم الأداة التي يمكننا استخدامها لتسميم طلبات المصادقة والتقاطها على الشبكة؟

المستجيب

ما هو اسم المستخدم المرتبط بالتحدي الذي تم التقاطه؟

svcFileCopy

ما هي قيمة كلمة المرور المكسورة المرتبطة بالتحدي الذي تم التقاطه؟

كلمة المرور 1!

ما هي أداة Microsoft المستخدمة لإنشاء واستضافة صور PXE Boot في المؤسسات؟

مجموعة أدوات النشر من Microsoft

ما هو بروتوكول الشبكة المستخدم لاستعادة الملفات من خادم MDT؟

تفتب

ما هو اسم المستخدم المرتبط بالحساب الذي تم تخزينه في صورة تمهيد PXE؟

com.svcMDT

ما هي كلمة المرور المرتبطة بالحساب الذي تم تخزينه في صورة تمهيد PXE؟

بكسبيوتسيكيور1@

ما نوع الملفات التي تحتوي غالبًا على بيانات الاعتماد المخزنة على الأجهزة المضيفة؟

ملفات التكوين

ما اسم قاعدة بيانات McAfee التي تخزن التكوين بما في ذلك بيانات الاعتماد المستخدمة للاتصال بالمنسق؟

ma.db

ما الجدول في قاعدة البيانات هذه الذي يخزن بيانات اعتماد المنسق؟

AGENT_REPOSITORIES

ما هو اسم المستخدم لحساب AD المرتبط بخدمة McAfee؟

ما هو اسم المستخدم لحساب AD المرتبط بخدمة McAfee؟

svcAV

ما هي كلمة المرور لحساب AD المرتبط بخدمة McAfee؟

ما هي كلمة المرور لحساب AD المرتبط بخدمة McAfee؟

كلمة المرور القوية!

تدريب مجاني على اختبار اختراق الدليل النشط

, , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات