#106 Kali Linux для продвинутого тестирования на проникновение. Повышение прав доступа в Active Directory.
Здравствуйте, дорогие друзья.
Мы только что рассмотрели, как повысить привилегии внутри системы и как получить учетные данные по сети. Теперь давайте воспользуемся всеми деталями, которые мы собрали на данный момент; тогда мы сможем достичь цели тестирования на проникновение, используя методологию cyber kill chain. В этом разделе мы повысим привилегии обычного пользователя домена до администратора домена.
Мы идентифицируем систему, подключенную к домену, и используем наш инструмент Empire PowerShell для передачи данных на контроллер домена и сброса всех хэшей имен пользователей и паролей:
![Current reporting agents in PowerShell Empire](https://timcore.ru/wp-content/uploads/2023/09/478-1024x160.png)
Вы можете собрать дополнительную информацию о домене, используя модуль situational_awareness module, get_domain_controller:
usemodule situational_awareness/network/powerview/get_domain_controller
![Output of the domain controller details](https://timcore.ru/wp-content/uploads/2023/09/479-1024x540.png)
Чтобы определить, кто вошел в домен, злоумышленники могут использовать модуль:
1 2 |
usemodule situational_awareness/network/powerview/get_loggedOn execute |
Все пользователи, вошедшие на контроллеры домена, будут видны, как показано на рисунке ниже:
![Logon details on the domain controller](https://timcore.ru/wp-content/uploads/2023/09/480-1024x437.png)
Повысьте привилегии локально с помощью модуля getsystem, как показано на рисунке ниже:
![Empire module successfully getting SYSTEM privilege](https://timcore.ru/wp-content/uploads/2023/09/481-1024x317.png)
Следующим шагом методологии эскалации является повышение привилегий до привилегий администратора домена. Это не потребуется, если Вы запустите mimikatz для сброса всех паролей и хэшей пользователей, как показано на следующем снимке экрана.
Вы можете использовать хеш-пароль или тестовый пароль в виде открытого текста для аутентификации через модуль PsExec в Metasploit или CrackMapExec:
![PowerShell Empire output of Mimikatz](https://timcore.ru/wp-content/uploads/2023/09/482-1024x900.png)
Теперь злоумышленники могут проверить все учетные данные в хранилище учетных данных инструмента Empire, набрав credentials, в интерфейсе Empire, как показано на рисунке ниже:
![Credentials that are stored within PowerShell Empire](https://timcore.ru/wp-content/uploads/2023/09/483-1024x411.png)
Самый быстрый способ выгрузить всех пользователей в Active Directory — использовать Crackmapexec smb и передать хэш, как показано на рисунке ниже:
![Extracting the NTDS using CrackMapExec](https://timcore.ru/wp-content/uploads/2023/09/484-1024x475.png)
Если злоумышленники решат сделать это вручную, следующим шагом будет использование CrackMapExec для проверки хеша на контроллере домена, а также запуск полезной нагрузки агента PowerShell Empire, как показано на рисунке ниже:
![Executing the PowerShell payload on the domain controller using crackmapexec](https://timcore.ru/wp-content/uploads/2023/09/485-1024x268.png)
Это вызовет контроллер домена, который станет агентом для прослушивателя. Как только об агенте будет сообщено обратно в инструмент Empire, мы сможем заменить агента на новый зарегистрированный компьютер, запустив: Interact. Затем использование модуля Management/enable_rdp включит протокол удаленного рабочего стола (RDP) на контроллере домена.
Нам нужно найти весь реестр БЕЗОПАСНОСТИ и СИСТЕМЫ, и крайне важно использовать ntds.dit. Это можно выполнить с помощью одной команды PowerShell с использованием ntdsutil:
1 |
ntdsutil "ac I ntds" "ifm" "create full c:\temp" q q |
Что делает предыдущая команда?
ntdsutil — это утилита командной строки, встроенная в семейство Windows Server, которая позволяет управлять службами домена Active Directory.
Эта утилита Install from Media (IFM) помогает нам загрузить все настройки базы данных Active Directory и реестра с контроллера домена в неструктурированные файлы, как показано на рисунке ниже. Наконец, мы можем увидеть эти файлы в c:\temp с двумя папками: Active Directory и реестром:
![Manually creating the NTDS snapshots](https://timcore.ru/wp-content/uploads/2023/09/486-1024x430.png)
Теперь реестр создан в папке c:\temp, которую можно использовать для автономного взлома паролей с помощью secretsdump.py.
secretsdump.py — это встроенный скрипт Kali Linux от Impacket. Чтобы увидеть открытый текст и хешированные пароли, злоумышленники могут запустить secretsdump.py -system -security -ntds «LOCAL» в терминале. Вся активная директория имена пользователей и хэши их паролей должны быть видны злоумышленникам.
Аналогичным образом, если цель состоит в извлечении только хеш-дампа домена, злоумышленники могут использовать агент, работающий на контроллере домена, и запустить модуль credentials/Mimikatz/dcysnc_hashdump, который будет запускаться непосредственно на контроллере домена для извлечения только хэшей имени пользователя и пароля, и всех пользователей домена, как показано на рисунке ниже:
![Output of the DCSync Hashdump module](https://timcore.ru/wp-content/uploads/2023/09/487-1024x607.png)
На этом все. Всем хорошего дня!
Полный цикл статей по Kali Linux для продвинутого тестирования на проникновение.