V1s3r1on

OSCP/OSWE/Penetration tester/Hobbyist/CTF speler

Attacktive Directory

Dit artikel gaat over een challenge op TryHackMe genaamd Attacktive Directory, het is een makkelijke machine die het een en ander laat zien op het gebied van kerberos. Ik zal je niet langer ophouden, laten we lekker beginnen.

Enumerate the dc

Vraag 1: Hoeveel porten zijn er open onder de 10.000?

Om dit te kunnen beantwoorden heb ik een nmap scan gedaan om erachter te komen hoeveel porten er dus open staan onder de 10.000.

Zoals je ziet staan er 11 porten open onder de 10.000.

Vraag 2: Welke tool stelts ons in staat om port 139/445 te enumereren?

Het antwoord op deze vraag is simpel namelijk enum4linux.

Hierboven een afbeelding met de commando om enum4linux te laten runnen.

Vraag 3: Wat is de NetBios-Domain naam van de machine?

Het antwoord hierop was THM-AD, zoals in onderstaande afbeelding te zien is.

Vraag 4: Welke ongeldige TLD (top level domein) gebruiken de meeste mensen?

Het antwoord hierop was .local, veel mensen maken gebruiken van .local als top level domein.

Enumerate the dc part 2

We zijn erachter gekomen dat kerberos werkt op de doel machine, kerberos is een sleutel authenticatie service binnen de active directory. Met deze port open kunnen wij gebruik maken van een tool genaamd ‘Kerbrute’ om een brute force aanval uit te voeren om gebruikers te achterhalen.

De volgende vraag was als volgt:

Vraag 1. Welke commando binnen kerbrute stelt ons in staat om geldige gebruikersnamen te enumereren?

zoals in bovenstaande afbeelding te zien is, is dit userenum. Het antwoord is daarom ook userenum.

Vraag 2. Welk opmerkzame account is ontdekt?

Zoals te zien is in bovenstaande afbeelding zijn er een aantal accounts gevonden, een aantal van deze zijn op het eerste gezicht erg interessants. Zoals svc-admin, dit was tevens ook het antwoord op de vraag.

Vraag 3. Welk ander account is erg interessant?

Een ander interessant account die ons opgevallen was, was de backup account. Waarschijnlijk word dit account gebruikt om backups op te slaan van de domain controller.

Exploiting kerberos

Na de enumeratie fase kunnen wij proberen om de feature binnen Kerberos te misbruiken met behulp van een bepaalde aanval genaamd ‘ASREPRoasting’. ASREPRoasting vind plaats wanneer een gebruikers account de rechten heeft dat de desbtreffende account geen pre-authenticatie vereist. Dit betekend dat het account niet geldige identificatie moet uitvoeren voordat de gebruiker om een kerberos ticket zal vragen.

ouch-gif-3 - The Armchair Anglophile

Er is een tool dat ons kan helpen bij het achterhalen of er zulke accounts aanwezig zijn, de tool in kwestie heet ‘GetNPUsers.py’. Met behulp van deze tool kunnen wij kijken welk account kwetsbaar is voor de eerder genoemde aanval.

De volgende commando kan ons hierbij helpen:

GetNPUsers.py spookysec.local/ -usersfile npu-users.txt

In de npu-users.txt staan alle accounts die wij eerder hadden gevonden. Het resultaat van de commando is als volgt:

Nu kunnen wij antwoord geven op de eerste vraag.

Vraag 1. Welke gebruikers account kan een ticket aanvragen zonder wachtwoord?

Het antwoord zoals in de afbeelding te zien is, is svc-admin.

Nu hebben wij een hash en moeten wij deze gaan kraken, met behulp van hashcat zullen wij de hash gaan kraken. Eerst moeten wij erachter komen welke mode hashcat moet gebruiken, hiervoor gaan wij naar de wiki pagina van hashcat.

Vraag 2. Welke type van kerberos hash hebben wij ontvangen?

Het antwoord is Kerberos 5 AS-REP etype 23.

Vraag 3. Welke mode is deze hash?

Antwoord is 18200.

Nu gaan wij de hash daadwerkelijk kraken, met behulp van hashcat.

hashcat -m 18200 hash.txt password_file.txt

Mooi, eerste hash gekraakt.

Enumerate the DC part 3

Vraag 1. Met welke tool kunnen wij de SMB shares laten zien?

Het antwoord is smbclient, smbclient is een handige tool waarmee de SMB shares gezien kunnen worden en eventueel ingelogd kan worden. Met de optie -L kunnen wij de lijst van shares zien.

Vraag 3. Hoeveel remote shares zijn er aanwezig?

Op onderstaande afbeelding is te zien hoeveel shares er aanwezig zijn

Het waren er in totaal 6.

Vraag 4. Er is een specifieke share waar wij toegang tot hebben en die een tekst bestand bevat, welke share is dit?

Om hierachter te komen moeten wij inloggen op de share om te kijken tot welke wij toegang hebben en of er een tekst bestand aanwezig is.

Met behulp van de volgende commando konden wij inloggen op de share:

smbclient //10.10.245.245/backup -U svc-admin

Na het downloaden van dit bestand naar onze eigen machine met behulp van de mget command kunnen wij het bestand bekijken.

Vraag 5. Wat is de inhoud van het bestand?

Het antwoord hierop is YmFja3VwQHNwb29reXNlYy5sb2NhbDpiYWNrdXAyNTE3ODYw. Dit is een base64 encoded string en om erachter te komen wat er werkelijk staat kunnen wij de volgende commando uitvoeren:

echo "YmFja3VwQHNwb29reXNlYy5sb2NhbDpiYWNrdXAyNTE3ODYw" | base64 -d

Vraag 6. Wat is het gedecodeerde resultaat?

Antwoord backup@spookysec.local:backup2517860, ziet ernaar uit dat we nog een account hebben bemachtigd.

Elevating privileges

Er is een andere tool genaamd ‘secretsdump.py’ dat ons in staat stelt om wachtwoord hashes te kunnen bemachtigen. Als wij dit kunnen misbruiken hebben wij volledige controle over de AD domein.

Blijkt dat de backup account unieke rechten heeft dat het toe staat om alle active directory aanpassingen te synchroniseren met dit account, dus ook wachtwoord hashes.

Met behulp van de tool ‘secretsdump.py’ kunnen wij hier gebruik van maken.

Vraag 1. Welke methode stelt ons in staat om de NTDS.DIT te dumpen?

Om hierachter te komen runnen wij de secretsdump.py en kijken naar het resultaat. Waar al snel duidelijk wordt dat het antwoord hierop is -just-dc.

Vraag 2. Wat is de administrator hash?

Om hierachter te komen moeten wij dus de secretsdump.py tool gaan runnen.

Mooi!

Thor Yess GIF - Thor Yess Excited - Discover & Share GIFs

Vraag 3. Welke aanval stelt ons in staat om in te loggen zonder een wachtwoord?

Het antwoord hier op is pass the hash aanval, dit is een aanval waarbij je gebruik maakt van de hash en niet van een wachtwoord om in te loggen op het systeem.

Vraag 4. Met behulp van een tool genaamd Evil-WinRm kunnen wij inloggen, welke optie zorgt ervoor dat wij een hash mee kunnen geven?

Het antwoord hierop is -H.

Nu is het tijd om Evil-WinRm te gebruiken en om als administrator in te loggen op het systeem.

WATCH: Chris Pratt Had A Dance Off With Baby Groot & It Was LIT ...

Dit was de machine, bedankt voor het lezen en tot de volgende keer!

Please share and spread
Previous Article
NederlandsEnglish