Tests d'intrusion Active Directory | TryHackMe viole Active Directory

Dans cet article, nous couvrirons les réponses de Salle TryHackMe Breaching Active Directory en plus de démontrer les concepts des tests d'intrusion Active Directory.

Notes d'étude OSCP

Notes d'étude sur la cybersécurité

Méthodes de collecte des informations d'identification Active Directory

Avant de pouvoir exploiter les mauvaises configurations d’AD pour l’élévation des privilèges, les mouvements latéraux et l’exécution des objectifs, vous avez d’abord besoin d’un accès initial. Vous devez acquérir un premier ensemble d’informations d’identification AD valides. En raison du nombre de services et de fonctionnalités AD, la surface d’attaque permettant d’obtenir un ensemble initial d’informations d’identification AD est généralement importante.

Lorsque nous recherchons ce premier ensemble d’informations d’identification, nous ne nous concentrons pas sur les autorisations associées au compte ; ainsi, même un compte peu privilégié serait suffisant. Nous recherchons simplement un moyen de nous authentifier auprès d'AD, nous permettant de faire une énumération plus approfondie sur AD lui-même.

Les techniques suivantes pour récupérer les informations d'identification AD dans un réseau :

• Services authentifiés NTLM
• Informations d'identification de liaison LDAP
• Relais d'authentification
• Boîte à outils de déploiement Microsoft
• Fichiers de configuration

Comprendre NTLM et NetNTLM

L'ensemble de protocoles de sécurité appelé New Technology LAN Manager (NTLM) permet aux utilisateurs de valider leur identité dans Active Directory. NetNTLM est une méthode basée sur un défi-réponse qui exploite NTLM pour l'authentification. Les services d'un réseau utilisent largement cette technique d'authentification. Toutefois, les services utilisant NetNTLM peuvent également être ouverts à Internet. Voici quelques exemples bien connus :

• Serveurs Exchange (Mail) hébergés en interne qui fournissent une page de connexion Outlook Web App (OWA).
• Service RDP (Remote Desktop Protocol) d'un serveur disponible sur Internet.
• Les points de terminaison VPN connectés à AD ont été rendus publics.
• Applications Web qui utilisent NetNTLM et sont accessibles sur Internet.

NetNTLM, également souvent appelé authentification Windows ou simplement authentification NTLM, permet à l'application de jouer le rôle d'intermédiaire entre le client et AD. Lorsqu'un défi est effectué avec succès, tout le matériel d'authentification est envoyé à un contrôleur de domaine et l'application authentifie l'utilisateur.

Cela signifie que l'application s'authentifie au nom de l'utilisateur et n'authentifie pas l'utilisateur directement sur l'application elle-même. Cela empêche l'application de stocker les informations d'identification AD, qui ne doivent être stockées que sur un contrôleur de domaine.

Attaques par force brute sur Active Directory

Ces services exposés offrent un excellent endroit pour tester les informations d’identification trouvées par d’autres moyens. Pour récupérer un premier ensemble d’informations d’identification AD légitimes, ces services sont également accessibles directement. Si lors de notre première reconnaissance par l'équipe rouge, nous parvenions à récupérer des informations telles que des adresses e-mail fonctionnelles, nous pourrions essayer de les utiliser pour des attaques par force brute.

Nous ne pourrons pas mener une attaque par force brute car le verrouillage des comptes est implémenté dans la majorité des environnements AD. Nous devons plutôt exécuter une attaque par pulvérisation de mots de passe. Plutôt que d'essayer un certain nombre de mots de passe différents, ce qui pourrait déclencher le mécanisme de verrouillage du compte, nous sélectionnons un mot de passe, l'utilisons et essayons de nous authentifier avec chaque nom d'utilisateur que nous avons collecté. Il convient toutefois de mentionner qu’en raison du nombre de tentatives d’authentification infructueuses que ces attaques produiront, elles pourront être identifiées et détectées.

Description de la tâche

Vous avez reçu une liste de noms d’utilisateur découverts lors d’un exercice OSINT de l’équipe rouge. L'exercice OSINT a également indiqué le mot de passe d'intégration initial de l'organisation, qui semble être « Changeme123 ». Même si les utilisateurs doivent toujours modifier leur mot de passe initial, nous savons que les utilisateurs l’oublient souvent. Nous utiliserons un script développé sur mesure pour organiser une pulvérisation de mot de passe sur l'application Web hébergée à cette URL : http://ntlmauth.za.tryhackme.com.

Si vous utilisez AttackBox, le script de pulvérisation de mot de passe et le fichier texte des noms d'utilisateur sont fournis sous le /root/Pièces/BreachingAD/task3/ annuaire. Nous pouvons exécuter le script en utilisant la commande suivante :

python ntlm_passwordspray.py -u -F -p -un

Nous fournissons les valeurs suivantes pour chacun des paramètres :

•  – Fichier texte contenant nos noms d’utilisateur – "noms d'utilisateur.txt"
•  – Nom de domaine complet associé à l’organisation que nous attaquons – « za.tryhackme.com »
•  – Le mot de passe que nous souhaitons utiliser pour notre attaque de pulvérisation – "Changemoi123"
•  – L'URL de l'application qui prend en charge l'authentification Windows – « http://ntlmauth.za.tryhackme.com »

Attaque par retour LDAP

L'authentification NTLM et l'authentification LDAP sont comparables. D'autre part, le programme authentifie directement les informations d'identification de l'utilisateur en utilisant l'authentification LDAP. Le programme peut interroger LDAP à l'aide de sa paire d'informations d'identification AD avant de confirmer les informations d'identification de l'utilisateur AD.

Les services ci-dessous sont des exemples de services qui utilisent l'authentification LDAP

• Gitlab
• Jenkins
• Applications Web développées sur mesure
• Imprimantes
• VPN

Si vous pouviez prendre pied sur le bon hôte, tel qu'un serveur Gitlab, cela pourrait être aussi simple que de lire les fichiers de configuration pour récupérer ces informations d'identification AD. Ces informations d'identification sont souvent stockées en texte brut dans les fichiers de configuration, car le modèle de sécurité repose sur la sécurité de l'emplacement et du fichier de configuration de stockage plutôt que sur son contenu.

Des attaques LDAP Pass-back peuvent être effectuées lorsque nous accédons à la configuration d'un appareil où les paramètres LDAP sont spécifiés. Il peut s'agir par exemple de l'interface Web d'une imprimante réseau. Habituellement, les informations d'identification de ces interfaces sont conservées par défaut, telles que administrateur:administrateur ou mot de passe administrateur.

Ici, nous ne pourrons pas extraire directement les informations d'identification LDAP puisque le mot de passe est généralement masqué. Cependant, nous pouvons modifier la configuration LDAP, comme l'adresse IP ou le nom d'hôte du serveur LDAP.

Lors d'une attaque LDAP Pass-back, nous pouvons modifier cette adresse IP en notre IP, puis tester la configuration LDAP, ce qui forcera l'appareil à tenter une authentification LDAP sur notre appareil malveillant. Nous pouvons intercepter cette tentative d'authentification pour récupérer les informations d'identification LDAP.

Description de la tâche

Il existe une imprimante réseau sur ce réseau sur laquelle le site Web d'administration ne nécessite même pas d'informations d'identification. Aller vers http://printer.za.tryhackme.com/settings.aspx pour trouver la page des paramètres de l’imprimante.

Vous pouvez suivre la salle pour exécuter les commandes de cette tâche et obtenir les réponses indiquées ci-dessous.

Comprendre le bloc de messages du serveur (SMB)

Les clients (comme les postes de travail) et les serveurs (comme les partages de fichiers) peuvent communiquer entre eux via le protocole Server Message Block (SMB). SMB contrôle tout sur les réseaux qui utilisent Microsoft AD, y compris l'administration à distance et le partage de fichiers sur les réseaux. Le protocole SMB est même responsable de la notification « plus de papier » qui apparaît sur votre ordinateur lorsque vous tentez d'imprimer un document.

Néanmoins, il a été déterminé que les itérations précédentes du protocole SMB manquaient de sécurité adéquate. De nombreuses failles et exploits pouvant être utilisés pour obtenir l’exécution de code sur des appareils ou même récupérer des informations d’identification ont été découverts. Bien que certaines de ces vulnérabilités aient été corrigées dans des versions de protocole plus récentes, les organisations n'imposent souvent pas l'utilisation de ces versions car les systèmes obsolètes ne les prennent pas en charge. Nous examinerons deux attaques distinctes pour l'authentification NetNTLM basée sur SMB :

• Étant donné que les défis NTLM peuvent être interceptés, nous pouvons utiliser des techniques de piratage hors ligne pour récupérer le mot de passe associé au défi NTLM. Cependant, ce processus de craquage est nettement plus lent que le craquage direct des hachages NTLM.
• Nous pouvons utiliser notre appareil malveillant pour organiser une attaque de l'homme du milieu, en relayant l'authentification SMB entre le client et le serveur, ce qui nous fournira une session authentifiée active et un accès au serveur cible.

Attaquer la boîte à outils de déploiement Microsoft

Un service Microsoft qui aide à automatiser le déploiement des systèmes d'exploitation (OS) Microsoft est Microsoft Deployment Toolkit (MDT). Étant donné que les images de base peuvent être mises à jour et gérées de manière centralisée, les grandes organisations utilisent des services tels que MDT pour les aider à déployer plus efficacement de nouvelles images dans leur parc.

Le System Center Configuration Manager (SCCM) de Microsoft, qui contrôle toutes les mises à jour de tous les services, systèmes d'exploitation et applications Microsoft, est généralement connecté à MDT. Pour les nouveaux déploiements, MDT est utilisé. Essentiellement, il permet au personnel informatique de préconfigurer et de gérer l’image de démarrage. En conséquence, tout ce que les utilisateurs doivent faire pour configurer un nouveau système est de brancher un câble réseau ; le reste se fait tout seul. Ils ont la possibilité de modifier l'image de démarrage de plusieurs manières, notamment en préinstallant Office 365 et le programme antivirus préféré de l'entreprise. De plus, cela peut garantir que la première installation exécutée utilise la version mise à niveau.

On peut considérer SCCM comme le frère aîné de MDT et pratiquement comme une extension de celui-ci. Une fois le logiciel installé, que se passe-t-il ? Dans tous les cas, SCCM gère ce type de correctif. Il permet à tous les logiciels installés dans l'ensemble du parc de voir leurs mises à niveau disponibles examinées par l'équipe informatique. Avant de fournir ces modifications de manière centralisée à chaque machine ayant rejoint le domaine, l'équipe peut également les tester dans un environnement sandbox pour s'assurer qu'elles sont fiables. La vie de l'équipe informatique en est grandement facilitée.

D’un autre côté, les attaquants peuvent cibler tout ce qui offre une gestion centrale de l’infrastructure, comme MDT et SCCM, dans le but de prendre le contrôle d’un nombre important de tâches vitales au sein du domaine. Bien qu'il existe d'autres façons de configurer MDT, pour le bien de ce travail, nous nous concentrerons uniquement sur une configuration connue sous le nom de démarrage PXE (Preboot Execution Environment).

Le démarrage PXE est utilisé par les grandes organisations pour permettre aux nouveaux appareils connectés au réseau de charger et d'installer le système d'exploitation directement via une connexion réseau. Les images de démarrage PXE peuvent être créées, gérées et hébergées à l'aide de MDT. Étant donné que le démarrage PXE est généralement intégré à DHCP, l'hôte est autorisé à demander l'image de démarrage PXE et à commencer la procédure d'installation du système d'exploitation réseau si DHCP accorde un bail IP.

Une fois la procédure terminée, le client téléchargera l'image de démarrage PXE via une connexion TFTP. L'image de démarrage PXE peut être utilisée à deux fins distinctes :

Une fois le démarrage PXE terminé, injectez un vecteur d'élévation de privilèges, comme un compte d'administrateur local, pour obtenir un accès administratif au système d'exploitation.
Utilisez des techniques de récupération de mot de passe pour obtenir les informations d’identification AD utilisées pour l’installation.

Description de la tâche

La première information concernant la préconfiguration du démarrage PXE que vous auriez reçue via DHCP est l'adresse IP du serveur MDT. Dans notre cas, vous pouvez récupérer ces informations à partir du schéma réseau TryHackMe.

La deuxième information que vous auriez reçue concernait les noms des fichiers BCD. Ces fichiers stockent les informations pertinentes pour les démarrages PXE pour les différents types d'architecture. Pour récupérer ces informations, vous devrez vous connecter à ce site internet : http://pxeboot.za.tryhackme.com. Il listera divers fichiers BCD :

Habituellement, vous utiliserez TFTP pour demander chacun de ces fichiers BCD et énumérer la configuration de chacun d'eux. Cependant, pour gagner du temps, nous nous concentrerons sur le fichier BCD du x64 architecture. Copiez et stockez le nom complet de ce fichier. Pour la suite de cet exercice, nous utiliserons cet espace réservé au nom x64{7B...B3}.bcd puisque les fichiers et leurs noms sont régénérés chaque jour par MDT. Chaque fois que vous voyez cet espace réservé, n'oubliez pas de le remplacer par votre nom de fichier BCD spécifique. Notez également que si le réseau vient de démarrer, ces noms de fichiers ne seront mis à jour qu'après 10 minutes d'activité du réseau.

Avec ces informations initiales désormais récupérées depuis DHCP (wink wink), nous pouvons énumérer et récupérer l'image de démarrage PXE. Nous utiliserons notre connexion SSH sur THMJMP1 pour les prochaines étapes, veuillez donc vous authentifier auprès de cette session SSH en utilisant ce qui suit :

ssh thm@THMJMP1.za.tryhackme.com

et le mot de passe de Mot de passe1@.

Suivez les instructions de la salle pour obtenir les réponses ci-dessous.

Récolte des informations d'identification Active Directory à partir de fichiers de configuration

 Supposons que vous ayez la chance de provoquer une faille qui vous donne accès à un hôte sur le réseau de l'organisation.
 Dans ce cas, les fichiers de configuration constituent une excellente voie à explorer pour tenter de récupérer les informations d’identification AD.
 
Les fichiers de configuration ci-dessous contiennent généralement de nombreuses informations d'identification AD.

• Fichiers de configuration d'application Web
• Fichiers de configuration des services
• Clés de registre
• Applications déployées de manière centralisée

Par exemple, McAfee intègre les informations d'identification utilisées lors de l'installation pour se reconnecter à l'orchestrateur dans un fichier appelé ma.db. Ce fichier de base de données peut être récupéré et lu avec un accès local à l'hôte pour récupérer le compte de service AD associé et avec la commande ci-dessous, nous pouvons ouvrir le fichier de base de données

sqlitebrowser ma.db

Réponses de la salle | TryHackMe violant Active Directory

HQuel site Web populaire peut être utilisé pour vérifier si votre adresse e-mail ou votre mot de passe a déjà été exposé lors d'une violation de données rendue publique ?

HaveIBeenPwned

Quel est le statut des agents ? Quel est le nom du mécanisme d'authentification challenge-réponse qui utilise NTLM ?

NetNtlm

Quel est le nom d'utilisateur de la troisième paire d'identifiants valides trouvée par le script de pulvérisation de mot de passe ?

Gordon Stevens

Combien de paires d'identifiants valides ont été trouvées par le script de pulvérisation de mot de passe ?

4

Quel est le message affiché par l'application Web lors de l'authentification avec une paire d'identifiants valide ?

Bonjour le monde

Quel type d'attaque peut être effectué contre les systèmes d'authentification LDAP, ce qui n'est pas courant contre les systèmes d'authentification Windows ?

Attaque par retour LDAP

Quelle application utilisons-nous sur LinuQuels sont les deux mécanismes d'authentification autorisons-nous sur notre serveur LDAP malveillant pour rétrograder l'authentification et la rendre en texte clair ?

CONNEXION, PLAINE

WQuel est le mot de passe associé au compte svcLDAP ?

Essayezhackmeldappass1@

Quel est le nom de l'outil que nous pouvons utiliser pour empoisonner et capturer les demandes d'authentification sur le réseau ?

Répondeur

Quel est le nom d'utilisateur associé au défi capturé ?

svcFileCopie

Quelle est la valeur du mot de passe craqué associé au défi capturé ?

FMot de passe1 !

Quel outil Microsoft est utilisé pour créer et héberger des images de démarrage PXE dans les organisations ?

Boîte à outils de déploiement Microsoft

Quel protocole réseau est utilisé pour la récupération des fichiers du serveur MDT ?

TFTP

Quel est le nom d'utilisateur associé au compte stocké dans l'image de démarrage PXE ?

svcMDT

Quel est le mot de passe associé au compte stocké dans l'image de démarrage PXE ?

PXEBootSecure1@

Quels types de fichiers contiennent souvent des informations d'identification stockées sur les hôtes ?

fichiers de configuration

Quel est le nom de la base de données McAfee qui stocke la configuration, y compris les informations d'identification utilisées pour se connecter à l'orchestrateur ?

ma.db

Quelle table de cette base de données stocke les informations d'identification de l'orchestrateur ?

AGENT_REPOSITOIRES

Quel est le nom d'utilisateur du compte AD associé au service McAfee ?

Quel est le nom d'utilisateur du compte AD associé au service McAfee ?

svcAV

Quel est le mot de passe du compte AD associé au service McAfee ?

Quel est le mot de passe du compte AD associé au service McAfee ?

Mon mot de passe fort !

Formation gratuite aux tests d'intrusion Active Directory