لذلك ستتضمن هذه المقالة المفاهيم النظرية المزودة بأمثلة عملية موضحة بها أشرطة فيديو.
قائمة المحتويات
1 المقدمة
2-تعداد الدليل النشط
3- تعداد المستخدمين والمجموعات وأجهزة الكمبيوتر
4- توحيد المستخدمين المسجلين والجلسات النشطة
5- تفريغ تجزئات كلمة المرور
6- تصعيد الامتيازات والحركات الجانبية مع اجتياز تقنية التجزئة
7- ترسيخ الثبات والحفاظ على الوصول بتذاكر Kerberos الذهبية
1 المقدمة
يتم تثبيت الدليل النشط في الغالب على خادم Windows ويتكون من مكونات مختلفة من بينها وحدة تحكم المجال التي تعتبر محطة عمل المسؤول.
عندما تقوم بتثبيت Active Directory لأول مرة، تتم مطالبتك بإنشاء مجال لمؤسستك، على سبيل المثال، Company.com ثم تنضم جميع أجهزة الكمبيوتر في المؤسسة إلى هذا المجال لتصبح جزءًا من بنية الدليل النشط. في النهاية سيكون لديك مسؤول المجال وتحته يوجد مستخدمون وأجهزة كمبيوتر ومجموعات.
سيقوم المسؤولون بتجميع المستخدمين وفقًا لوحدتهم التنظيمية. على سبيل المثال، سيكون هناك تكنولوجيا المعلومات، والموارد البشرية، والمالية، والمبيعات، وما إلى ذلك.
تعداد الدليل النشط
يبدأ تعداد الدليل النشط باكتساب المعرفة حول المستخدمين والمجموعات وأجهزة الكمبيوتر الحالية من أجل تحديد موقع المجموعات ذات القيمة العالية مثل مسؤولي المجال ومعرفة الأعضاء المتصلين.
في معظم الأوقات وأثناء اختبار الاختراق، ستكون قد حصلت بالفعل على حق الوصول إلى جهاز يعد جزءًا من وحدة تحكم المجال ومن هذا الجهاز، ستستخدم أدوات ونصوص برمجية مختلفة لإجراء التعداد الخاص بك.
في السيناريوهات التالية، سيكون لدينا جهازين، أحدهما هو محطة عمل Windows التي قمنا باختراقها للتو والآخر هو Windows Server 2012 وهو وحدة التحكم بالمجال التي نحتاج إلى استهدافها.
تعداد المستخدمين والمجموعات وأجهزة الكمبيوتر
في الفيديو أدناه، استخدمنا البرنامج النصي Powershell لتعداد المستخدمين والمجموعات والعضويات والأذونات المرتبطة بها. لقد أعطانا هذا خريطة كاملة للتسلسل الهرمي للدليل النشط ومهد الطريق لنا لتحديد هدفنا التالي
إحدى الملاحظات المهمة هي أنه لكي تعمل الطريقة الموضحة في الفيديو، يجب عليك فهم كيفية عمل مسارات موفر LDAP وباحث الدليل من أجل تعديل البرنامج النصي حسب الحاجة لتعداد الجوانب المختلفة
تعداد المستخدمين الذين قاموا بتسجيل الدخول والجلسات النشطة وأسماء مديري الخدمة
الخطوة التالية في العملية هي تحديد موقع الأشخاص الذين قاموا بتسجيل الدخول في محطة العمل الحالية المعرضة للخطر. إذا فعلنا ذلك، فسنكون قادرين على تفريغ تجزئات كلمة المرور لهؤلاء المستخدمين واستخدامها للقيام بتصعيد الامتيازات على جهاز Windows الحالي الذي يعد جزءًا من وحدة تحكم المجال.
يمكننا أيضًا تعداد المستخدمين الذين قاموا بتسجيل الدخول حاليًا والجلسات النشطة على وحدة تحكم المجال والتي ستمكننا من تحديد من يمكننا استهدافه بين مسؤولي المجال.
يعتمد تعداد ما سبق ذكره على واجهتي برمجة تطبيقات Windows. NetSessionEnum وNetWkstaUserEnum. يتطلب NetWkstaUserEnum أذونات امتيازات إدارية ويقوم بإرجاع قائمة بالمستخدمين الذين قاموا بتسجيل الدخول على محطة عمل مستهدفة، لكن NetSessionEnum يقوم بإرجاع الجلسات النشطة على الخوادم الموجودة مثل خادم الملفات ووحدات التحكم بالمجال.
لتحقيق ذلك سوف نستخدم البرنامج النصي Powerview
نأتي الآن لخدمة الأسماء الرئيسية. أسماء الخدمة الرئيسية هي الارتباط أو الاتصال بين خادم معين وحساب الخدمة. فكر فيها كمعرفات تحدد حساب الخدمة لخادم موجود مثل خادم HTTP أو DNS أو خادم FTP.
يمكننا تعداد أسماء الخدمة الأساسية (SPN) على الخادم لمعرفة عنوان IP وأرقام المنافذ المرتبطة بالخدمة المستخدمة. مثال تعداد وجود خادم IIS يعمل على وحدة تحكم المجال.
شاهد الفيديو أدناه للتعرف على الجزء العملي من هذا القسم
تفريغ تجزئات كلمة المرور
نظرًا لأن Windows يقوم بتخزين نسخة من ذاكرة التخزين المؤقت لتجزئة كلمة المرور في الذاكرة، فيمكننا استخدام mimikatz لتفريغ كافة تجزئات كلمة المرور الخاصة بمحطة العمل التي قمنا باختراقها. يمكننا كسر هذه التجزئات للحصول على كلمة مرور نصية واضحة أو إعادة استخدامها لأغراض أخرى.
ومع ذلك، نظرًا لأنه يتم التعامل مع تجزئات كلمة المرور من خلال عملية LSASS التي تعمل كـ SYSTEM، فإننا نحتاج إلى أذونات النظام للوصول إلى تجزئات كلمة المرور، وهو أمر منطقي لرفع امتيازنا قبل أي محاولة لتفريغ كلمة المرور.
يحتوي Mimikaz على العديد من الوحدات النمطية لتفريغ تجزئات كلمة المرور من بينها sekurlsa::logonpasswords
والفيديو أدناه يوضح ذلك،
تصعيد الامتياز والحركات الجانبية مع تمرير تقنية التجزئة
لقد تعلمنا حتى الآن كيفية تعداد الدليل النشط، واكتسبنا المعرفة حول المستخدمين الذين قاموا بتسجيل الدخول والجلسات النشطة وقمنا بإلقاء تجزئات كلمة المرور الخاصة بمحطة العمل. ستكون الخطوة التالية هي استخدام كل ما لدينا والحصول على امتياز الوصول إلى وحدة تحكم المجال.
نحن نفعل ذلك باستخدام تقنية تسمى Overpass the Hash.
تعتمد هذه التقنية على إساءة استخدام تجزئة مستخدم NTLM وتحويلها إلى تذكرة Kerberos مصادق عليها والتي تتيح لنا الوصول إلى الجهاز المستهدف والذي هو في حالتنا وحدة تحكم المجال.
أحد شروط نجاح هذا الهجوم هو أن مسؤول وحدة التحكم بالمجال يحتاج إلى تخزين تجزئة NTLM الخاصة به في ذاكرة التخزين المؤقت لجهاز Windows الذي قمنا باختراقه، مما يعني أنه يجب عليه تسجيل الدخول إلى جهاز Windows في الماضي حتى يحدث هذا .
بافتراض أنهم فعلوا ذلك، يمكننا تفريغ تجزئاتهم واستخدام mimikatz لتحويلها إلى تذكرة Kerberos لإنشاء عملية بوويرشيل في سياق المستخدم الإداري لوحدة تحكم المجال.
ثم نستخدم PsExec.exe للوصول إلى موجه الأوامر إلى وحدة تحكم المجال كمسؤول
والفيديو أدناه يوضح ذلك
إنشاء المثابرة والحفاظ على الوصول باستخدام تذاكر Kerberos الذهبية
التذاكر الذهبية هي تذاكر ذاتية الصنع نقوم بإنشائها بعد حصولنا على حق الوصول الإداري أو أمر cmd الإداري على وحدة تحكم المجال لإنشاء مستخدم مزيف جديد والحفاظ على وصولنا.
تستخدم التذاكر الذهبية معرف المجال وتجزئة NTLM لـ krbtgt وهو حساب يستخدم لإنشاء المفتاح السري لتشفير TGT أثناء مصادقة kerebros.
والفيديو أدناه يوضح ذلك
آمل أن يكون هذا مفيدًا ولا تنس الاشتراك في قناتي لمزيد من المحتوى
