Dieser Artikel enthält daher theoretische Konzepte, die mit praktischen Beispielen ergänzt werden, Videos.
Inhaltsverzeichnis
1. Einleitung
2-Active Directory-Aufzählung
3- Aufzählen von Benutzern, Gruppen und Computern
4- Erfassung der angemeldeten Benutzer und aktiven Sitzungen
5. Passwort-Hashes ausgeben
6- Rechteausweitung und Lateralbewegungen mit der Pass-the-Hash-Technik
7. Persistenz herstellen und Zugriff aufrechterhalten mit Kerberos-Golden-Tickets
Holen Sie sich Hinweise zum OSCP-Zertifikat
1. Einleitung
Active Directory wird meist auf Windows-Servern installiert und besteht aus verschiedenen Komponenten, darunter dem Domänencontroller, der als Administrator-Arbeitsstation gilt.
Wenn Sie Active Directory zum ersten Mal installieren, werden Sie aufgefordert, eine Domäne für Ihre Organisation zu erstellen, z. B. company.com. Anschließend werden alle Computer in der Organisation dieser Domäne beitreten, um Teil der Active Directory-Struktur zu werden. Am Ende haben Sie einen Domänenadministrator und darunter befinden sich Benutzer, Computer und Gruppen.
Administratoren gruppieren Benutzer entsprechend ihrer Organisationseinheit. Beispielsweise gäbe es IT, Personal, Finanzen, Vertrieb usw.
Active Directory-Aufzählung
Die Active Directory-Aufzählung beginnt mit dem Erfassen der vorhandenen Benutzer, Gruppen und Computer, um wichtige Gruppen wie Domänenadministratoren zu lokalisieren und die verbundenen Mitglieder herauszufinden.
In den meisten Fällen und während Ihres Penetrationstests haben Sie bereits Zugriff auf eine Maschine erhalten, die Teil des Domänencontrollers ist, und von dieser Maschine aus verwenden Sie verschiedene Tools und Skripte, um Ihre Aufzählung durchzuführen.
In den folgenden Szenarien werden wir über zwei Maschinen verfügen, eine ist die Windows-Workstation, die wir gerade kompromittiert haben, und die andere ist der Windows Server 2012, der der Domänencontroller ist, auf den wir abzielen müssen.
Aufzählen von Benutzern, Gruppen und Computern
Im folgenden Video haben wir das Powershell-Skript verwendet, um Benutzer, Gruppen, Mitgliedschaften und die zugehörigen Berechtigungen aufzulisten. Dadurch erhielten wir eine vollständige Karte der Active Directory-Hierarchie und konnten entscheiden, was unser nächstes Ziel ist.
Ein wichtiger Hinweis ist, dass Sie, damit die im Video erläuterte Methode funktioniert, verstehen müssen, wie LDAP-Providerpfade und Verzeichnissucher funktionieren, um das Skript nach Bedarf zu ändern und verschiedene Aspekte aufzuzählen.
Auflisten der angemeldeten Benutzer, aktiven Sitzungen und Namen der Dienstprinzipale
Der nächste Schritt im Prozess besteht darin, diejenigen zu lokalisieren, die an der aktuell kompromittierten Workstation angemeldet sind. Wenn uns das gelingt, können wir die Passwort-Hashes dieser Benutzer sichern und sie verwenden, um die Rechte auf der aktuellen Windows-Maschine, die Teil des Domänencontrollers ist, zu erhöhen.
Darüber hinaus können wir die aktuell angemeldeten Benutzer und aktiven Sitzungen auf dem Domänencontroller auflisten, wodurch wir ermitteln können, wen unter den Domänenadministratoren wir ansprechen können.
Die Aufzählung der oben genannten Punkte basiert auf zwei Windows-APIs: NetSessionEnum und NetWkstaUserEnum. NetWkstaUserEnum erfordert Administratorrechte und gibt eine Liste der angemeldeten Benutzer auf einer Zielarbeitsstation zurück, NetSessionEnum hingegen gibt die aktiven Sitzungen auf den vorhandenen Servern wie Dateiserver und Domänencontrollern zurück.
Um dies zu erreichen, verwenden wir Powerview-Skript
Kommen wir nun zu den Dienstprinzipalnamen. Dienstprinzipalnamen stellen die Zuordnung oder Verbindung zwischen einem bestimmten Server und einem Dienstkonto dar. Stellen Sie sie sich als Bezeichner vor, die ein Dienstkonto für einen vorhandenen Server wie einen HTTP-, DNS- oder FTP-Server identifizieren.
Wir können SPNs auf einem Server aufzählen, um die IP-Adresse und die Portnummern herauszufinden, die dem verwendeten Dienst zugeordnet sind. Beispiel: Aufzählen der Präsenz des auf dem Domänencontroller ausgeführten IIS-Servers.
Sehen Sie sich das Video unten für den praktischen Teil dieses Abschnitts an
Kennwort-Hashes ausgeben
Da Windows eine Kopie der Passwort-Hashes im Arbeitsspeicher-Cache speichert, können wir mit mimikatz alle Passwort-Hashes der kompromittierten Workstation sichern. Diese Hashes können wir knacken, um das Passwort im Klartext zu erhalten oder sie für andere Zwecke wiederzuverwenden.
Da Kennwort-Hashes jedoch vom LSASS-Prozess verarbeitet werden, der als SYSTEM ausgeführt wird, benötigen wir SYSTEM-Berechtigungen für den Zugriff auf Kennwort-Hashes. Daher ist es sinnvoll, unsere Berechtigungen vor jedem Kennwort-Dump-Versuch zu erhöhen.
Mimikaz verfügt über zahlreiche Module zum Speichern von Passwort-Hashes, darunter sekurlsa::logonpasswords
Das folgende Video veranschaulicht dies.
Rechteausweitung und Lateral Movement mit Pass-the-Hash-Technik
Bisher haben wir gelernt, wie man Active Directory auflistet, Informationen über angemeldete Benutzer und aktive Sitzungen gewonnen und die Passwort-Hashes der Workstation ausgegeben. Der nächste Schritt wäre, alles zu nutzen, was wir haben, und privilegierten Zugriff auf den Domänencontroller zu erhalten.
Wir tun dies mit einer Technik namens „Overpass the Hash“.
Diese Technik basiert auf dem Missbrauch des NTLM-Benutzer-Hashes und dessen Umwandlung in ein authentifiziertes Kerberos-Ticket, das uns Zugriff auf die Zielmaschine gewährt, die in unserem Fall der Domänencontroller ist.
Eine Voraussetzung für das Funktionieren dieses Angriffs ist, dass der Administrator des Domänencontrollers seinen NTLM-Hash im Speichercache der von uns kompromittierten Windows-Maschine gespeichert haben muss. Das bedeutet, dass er sich in der Vergangenheit bei der Windows-Maschine angemeldet haben muss, damit dies geschieht.
Vorausgesetzt, sie haben dies getan, können wir ihre Hashes ausgeben und sie mithilfe von Mimikatz in ein Kerberos-Ticket umwandeln, um einen Powershell-Prozess im Kontext des Administratorbenutzers des Domänencontrollers zu erstellen.
Dann würden wir PsExec.exe verwenden, um als Administrator über die Eingabeaufforderung auf den Domänencontroller zuzugreifen
Das folgende Video demonstriert dies
Persistenz herstellen und Zugriff aufrechterhalten mit Kerberos Golden Tickets
Golden Tickets sind selbst erstellte Tickets, die wir erstellen, nachdem wir Administratorzugriff oder einen Administrator-Cmd auf dem Domänencontroller erhalten haben, um einen neuen Fake-Benutzer einzurichten und unseren Zugriff beizubehalten.
Golden Tickets verwenden die Domänenkennung und den NTLM-Hash von krbtgt, einem Konto, das zum Erstellen des geheimen Schlüssels zum Verschlüsseln des TGT während der Kerberos-Authentifizierung verwendet wird.
Das folgende Video demonstriert dies
Ich hoffe, das war hilfreich und vergessen Sie nicht, meinen Kanal für weitere Inhalte zu abonnieren
