https://forum.antichat.xyz/attachmen...3ab76322c6.png

Приветствую!
Решил начать писать статьи с разборами CTF одной из самых известных площадок информационной безопасности - HackTheBox!

Данные:
Задача: взять права Administrator'а на домене и получить два флага user.txt и root.txt
Основная машина: Kali Linux 2021.3

Первоначальная разведка:
Для начала нам нужно просканировать самые известные порты на удаленной машине, сделаем это с помощью команды:

https://forum.antichat.xyz/attachmen...f6945f1873.png

Вывод nmap'а очень полезен для нас, потому что в нём содержится название домена (который nmap нашёл с ldap) - MEGABANK.LOCAL
Теперь нам нужно добавить его в /etc/hosts:

Видим открытый порт SMB - 445, попробуем провести разведку с помощью утилиты enum4linux:

Enum4Linux - это отличный инструмент для сбора информации из систем Windows и Samba, который можно использовать практически всегда для пентестов windows!
Для нас открывается большое количество информации по данному хосту, но самой важной деталью здесь являются открытые smb диски (шары), а что ещё лучше список пользователей!

https://forum.antichat.xyz/attachmen...e9c3a81cce.png

А вот и все наши пользователи, запишем их в файл и двигаемся дальше)
Для Linux был создан набор классов для работы с сетью под названием - Impacket
С ним мы можем перебрать наш список юзеров для входа без пароля, давайте сделаем это, будем использовать impacket-GetNPUsers:

https://forum.antichat.xyz/attachmen...84ea941e2d.png

К сожалению модуль не справился и не нашёл пользователей без пароля
Ну ладно не унываем и идём дальше!

Теперь очередь одной из небезызвестных утилит для пентеста Windows это - CrackMapExec!
C её помощью мы попробуем подобрать пароль к одной из полученных нами учетных записей, приступим:

В качестве логина и пароля я подставляю файл с именами пользователей - users.txt!
Получаем отличный результат с найденными учетными данными пользователя SABatchJobs:

https://forum.antichat.xyz/attachmen...deccde90c1.png

Так как мы нашли данные можем зайти в SMB с помощью той же утилиты Impacket, только уже с модулем impacket-smbclient, я предпочитаю использовать его вместо обычного smbclient:

Практически всегда для Impacket и его модулей используется один и тот же синтаксис, поэтому он очень хорошо подходит для быстрой разведки! (Никто же не хочет писать "колбасу")
Итак, первоначальные команды для этого модуля: shares- она покажет все доступные шары:

https://forum.antichat.xyz/attachmen...b7b7031328.png

Перейдем теперь в папку users$ и посмотрим её содержимое, выберем её с помощью use:

https://forum.antichat.xyz/attachmen...7d4696e6bf.png

Видим список из 4 пользователей, если мы полазим по их папкам командой cd и выводом их содержимого, мы можем наткуться на папку пользователя mhope, именно в ней мы сможем увидеть файлик azure.xml, загрузим его командой get:

https://forum.antichat.xyz/attachmen...b0d18a6ee2.png

Теперь посмотрим содержимое нашего файла:

https://forum.antichat.xyz/attachmen...38d902682a.png

И о чудо! Мы нашли чей-то пароль, но чей...? Опять воспользуемся CrackMapExec и подберем пароль к его юзеру:

https://forum.antichat.xyz/attachmen...aa770c12ee.png

Можно было и догадаться... Ну не суть, мы получили пользователя mhope с паролем 4n0therD4y@n0th3r$!
Теперь к ещё одной полезной утилите написанной на Ruby -Evil-WinRM - она позволяет создать shell через протокол WinRM:

https://forum.antichat.xyz/attachmen...ad1d9a6632.png

Ура! Мы в системе, но мы ещё не админы, поэтому продолжаем искать
В папке C:\Users\mhope\Desktop\ находим файл user.txt с флагом.

https://forum.antichat.xyz/attachmen...770a046ac2.png

Повышение привелегий:
Для начала посмотрим и проведем анализ нашего доступа и пользователя в домене:

Код:

---

whoami /all

---

https://forum.antichat.xyz/attachmen...ed19699bc3.png

Заметим интересную группу MEGABANK\Azure Admins в которой мы состоим, а это значит что мы можем управлять Azure, найдем интересные способы повысить привелегии...
После недолгих поисков скриптов, я наткнулся на Powershell скрипт Azure-ADConnect.ps1 - он подключается к базе данных Azure и выдаёт пароль Администратора
С помощью evil-winrm и его полезного upload - загружаем свой скрипт на тачку в папку C:\Windows\Temp и теперь нам остается загрузить его как модуль powershell, сделаем это командой:

https://forum.antichat.xyz/attachmen...0ad5e27810.png

Теперь нам остается выполнить команду, как показано в примере самого скрипта:

https://forum.antichat.xyz/attachmen...3315011004.png

О да! Мы получили админские учетные данные Теперь зайдем под ними в Evil-WinRM:

https://forum.antichat.xyz/attachmen...7e7ef4a1e9.png

Выводы:
Эта CTF дала нам самые базовые понятия пентеста AD (но не всё!), поэтому я очень сильно горю желанием продолжать делать статьи на тему CTF, а может найду ещё что получше... Поэтому надеюсь на вашу поддержку, скоро увидимся

Интересная статья, понравилось. Делай ещё

Буду стараться)

Но это ведь только для локалки , в которой ты сам и находишься. ???? А есть что интересное для внешних хостов ????

Этот таск и подразумевает только локальную сеть и в портах нет никаких вебсерверов, скоро буду писать новый врайтап по вебу, так что жди

Проходил этот таск. Будет интересно прочитать новые статьи. Продолжай!

Обязательно)

погодите, SABatchJobs сходится логин и пароль? вся надежда была только на то, в домене не запрещены пароли равные логину?
Azure-ADConnect.ps1 поисков нашел где? прям на этой же шаре?

Спасибо вам за статью, очень хотелось бы увидеть продолжение.

Да пароль и логин сходятся, но не вся надежда была на это, можно было бы сделать ещё достаточное количество сканирования и мы бы смогли найти побольше информации о учетках