Приветствую!
Продолжаем проходить лаборатории и CTF с сайтаHackTheBox! В этой лаборатории мы разберём машинуResolute(Windows - Active Directory).
Сегодня мы применим разведку в Active Directory, а так же рассмотрим уязвимость Dll Hijacking! Начинаем)
Данные:
Задача: Скомпрометировать машину на Windows и взять два флага user.txt и root.txt
Основная рабочая машина: Kali Linux 2021.4
IP адрес удаленной машины - 10.10.10.169
IP адрес основной машины - 10.10.14.56
Начальная разведка и сканирование портов:
Для начала мы используем Masscan и пробуем быстро найти все открытые порты:

И пока Masscan ведет свою работу, запустим параллельно nmap:

Теперь посмотрим результаты выполнения наших сканеров:

Masscan:



Nmap:



Мы видим информацию из служб LDAP’а - домен megabank.local. Добавим его в /etc/hosts:

Сбор информации о пользователях:
Так как у нас открыт порт 88/tcp-Kerberos, попробуем перебрать пользователей по списку с помощью прекрасной утилиты Kerbrute:

Kerbrute - это инструмент для быстрого перебора и перечисления действительных учетных записей Active Directory с помощью предварительной проверки подлинности Kerberos.

Код:

./kerbrute userenum -d megabank.local --dc megabank.local /root/Users.txt

Параметры:
userenum - указываетна перебор пользователей инструментом
-d- указывает домен
--dc- сам контроллер домена (Здесь мы по умолчанию ставим сам домен)



А вот и все наши пользователи которые нам понадобятся для дальнейшей разведки, теперь давайте отсортируем их имена в один файл, с помощью встроенной утилиты Linux - awkи выведем их в файл:

AWK- C-подобный скриптовый язык построчного разбора и обработки входного потока по заданным шаблонам.

Код:

./kerbrute userenum -d megabank.local --dc megabank.local /root/Users.txt | awk '{print $7}'

Уберем домен от имени пользователя и получим наш список.
Далее попробуем применить impacket-GetNPUsers:



К сожалению никаких результатов( Ну... тогда соберем информацию с Enum4linux:



И видим что у пользователя marko в его описании написано что пользователь создан, а пароль к нему - Welcome123!
Попробуем перебрать пользователей к этому паролю с помощью CrackMapExec:



И среди неверных кредов получаем аккаунт melanie:Welcome123!
Теперь зайдем в него с помощьюEvilWinRM:



Иии... получаем флаг юзера!

Повышение привилегий:

Для начала сделаем апгрейд своей оболочки powershell и прокинем на уязвимую машину Web-Delivery с Metasploit:

Код:




И получаем наш Powershell скрипт, теперь засунем его в шелл EvilWInRM'аи получим meterpreter сессию:



А вот и наша meterpreter сессия:



Итак, поищем интересную информацию, а может и пароли в системе, просто полазим по директориям.
В корне я нашёл директорию - PSTranscripts - это папка с сохраненными файлами сеанса powershell или его частями.
Теперь перейдем туда и выведем содержимое сеанса:





И мы видим креды от пользователя ryan -Serv3r4Admin4cc123!
Давайте зайдем в его аккаунт!

Ryan - DNSadmin:

После входа в аккаунт этого пользователя, просмотрим информацию о его доступе в системе:



Мы состоим в группе DnsAdmins, а это значит что мы можем использовать сервис dns в своих целях, таким образом создадим .dll библиотеку и загрузим её в конфиг самого dns!

Полезная нагрузка здесь выполняет команду от системы, поэтому мы добавляем нашего пользователя в группы с повышенным доступом.
Теперь чтобы скачать эту нагрузку в наш dns конфиг будем использовать свой сервер smb на стороне:

После открытия этого сервера мы выполним команду на шелле от ryan:

Мы загружаем сам dll с нашего smb сервера, далее нам нужно перезапустить службу dns:

Вывод smb-сервера:



Теперь нам остается перезайти под этим пользователем и наблюдать!



Мы администраторы домена!

Всем спасибо за чтение данной статьи! Скоро буду