В этом райтапе я покажу, как применять технику ESC1 ADCS для получения сертификата администратора и Pass the Cert для получения доступа к хосту. Также достанем учетные данные из Ansible и стриггерим подключение к своему серверу LDAP для перехвата учетных данных.
Нашей целью будет захват рута на тренировочной машине Authority с площадки Hack The Box. Уровень ее сложности — средний.
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Добавляем IP-адрес машины в /etc/hosts:
10.10.11.222 authority.htb
И начинаем сканирование портов.
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bashports=$(nmap -p- —min-rate=500 $1 | grep ^[0-9] | cut -d ‘/‘ -f 1 | tr ‘n’ ‘,‘ | sed s/,$//)nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Так как Windows может не отвечать на пинг, исключим этот шаг из сканирования (опция -Pn).
Результат работы скрипта
Сканер нашел множество открытых портов, что характерно для серверов на Windows:
Первым делом проверим доступ от имени гостевой учетной записи, для чего будем использовать фреймворк CrackMapExec.
crackmapexec smb 10.10.11.222 -u guest -p «»Проверка гостевой учетной записи
Доступ есть, проверим доступные для чтения общие ресурсы.
crackmapexec smb 10.10.11.222 -u guest -p «» —sahresОбщие ресурсы SMB
В списке значится интересный каталог Development, который мы можем просмотреть. Подключаем к шаре с помощью impacket-smbclient и смотрим содержимое.
impacket-smbclient [email protected] use Development lsСодержимое SMB-ресурса Development
Видим вложенный каталог. Спустившись по каталогам дальше, находим директорию Ansible, содержащую папки ADCS, LDAP, PWM и SHARE.
Вложенные каталоги
В каталоге PWMdefaults находим файл .yml, содержащий зашифрованные учетные данные.
get PWMdefaultsmain.yml cat main.yml Содержимое файла main.yml
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
9990 рублей 4000 р.
[TD]
920 р.
[/TD]
Я уже участник «Xakep.ru»
Нашей целью будет захват рута на тренировочной машине Authority с площадки Hack The Box. Уровень ее сложности — средний.
warning
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Добавляем IP-адрес машины в /etc/hosts:
10.10.11.222 authority.htb
И начинаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bashports=$(nmap -p- —min-rate=500 $1 | grep ^[0-9] | cut -d ‘/‘ -f 1 | tr ‘n’ ‘,‘ | sed s/,$//)nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Так как Windows может не отвечать на пинг, исключим этот шаг из сканирования (опция -Pn).
Результат работы скрипта
Сканер нашел множество открытых портов, что характерно для серверов на Windows:
- 53 — служба DNS;
- 80 (HTTP) — веб‑сервер Microsoft IIS/10.0;
- 88 — служба Kerberos;
- 135 — служба удаленного вызова процедур (Microsoft RPC);
- 139 — служба сеансов NetBIOS, NetLogon;
- 389 — служба LDAP;
- 445 — служба SMB;
- 464 — служба смены пароля Kerberos;
- 593 (HTTP-RPC-EPMAP) — используется в службах DCOM и MS Exchange;
- 636 — LDAP с шифрованием SSL или TLS;
- 5985 — служба удаленного управления WinRM;
- 8443 — веб‑сервер, выполняющий редирект на страницу /pwm;
- 9389 — веб‑службы AD DS.
Точка входа
Первым делом проверим доступ от имени гостевой учетной записи, для чего будем использовать фреймворк CrackMapExec.
crackmapexec smb 10.10.11.222 -u guest -p «»Проверка гостевой учетной записи
Доступ есть, проверим доступные для чтения общие ресурсы.
crackmapexec smb 10.10.11.222 -u guest -p «» —sahresОбщие ресурсы SMB
В списке значится интересный каталог Development, который мы можем просмотреть. Подключаем к шаре с помощью impacket-smbclient и смотрим содержимое.
impacket-smbclient [email protected] use Development lsСодержимое SMB-ресурса Development
Видим вложенный каталог. Спустившись по каталогам дальше, находим директорию Ansible, содержащую папки ADCS, LDAP, PWM и SHARE.
Вложенные каталоги
Точка опоры
В каталоге PWMdefaults находим файл .yml, содержащий зашифрованные учетные данные.
get PWMdefaultsmain.yml cat main.yml Содержимое файла main.yml
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
| -60% |
1 год
9990 рублей 4000 р.
[TD]
1 месяц
920 р.
[/TD]
Я уже участник «Xakep.ru»
