Game of Active Directory del 1 – Rekognosering
Miljøet ble satt opp på IP range 10.3.2.0/24, og jeg vet at de fikk IPer i range .10–.23 dermed vet jeg at jeg kan fokusere på kartlegging i den addresseserien.
Fordi dette er en lab jeg kontrollerer selv, og den er skapt for å være sårbar, så bryr jeg meg ikke om å være stille.
NMAP
Scannet nettet med NMAP for å få oversikt over verter på nettet.
Vi ser 5 verter på nettverket:
- 10.3.2.10, 10.3.2.11, 10.3.2.12
- 10.3.2.22, 10.3.2.23
Vi ser en del saftig informasjon på f.eks verten 10.3.2.22:
Vi kan se at bl.a. portene 135/tcp (RPC Mapper), 445/tcp (SMB), 3389/tcp (Remote Desktop), og 5985/tcp (WinRM) er åpne på verten 10.3.2.22
Legg også merke til SSL-Cert: Subject: commonName=castelblack.north.sevenkingdoms.local, dette kan være relevant informasjon til senere.
Enum4linux
Vi tester verktøyet enum4linux (bråkete, men nyttig her) for å se om vi kan finne noe mer spennende på noen av serverene. Winterfell.north.sevenkingdoms.local gir oss mye informasjon.
Legg særlig merke til passordpolicy og gruppemedlemskapene.
Netexec
Jeg ser om jeg kan finne noen tilgjengelige fileshares på området med netexec, som har i økende grad begynt å erstatte crackmapexec. Her benytter jeg spesifikt smb modulen i netexec, og spesifiserer brukernavn “Guest” og et blankt passord for å se om gjestetilgang er tillatt.
Vi har lokalisert /all filesharen på både CASTELBLACK og BRAAVOS serverene. Kanskje vi kan finne noe spennende der? Vi ser også at Braavos og Castelblack ikke krever SMB Signing, og at både Braavos og Meereen støtter SMBv1.
/etc/hosts
Vi oppdaterer /etc/hosts med informasjon samlet fra enum4linux og netexec:
SMBClient
Vi benytter den samme gjestetilgangen for å undersøke om det ligger noe spennende på /all sharen på castelblack.
Vi oppdaget et dokument som heter arya.txt – dette kan være interessant, så vi laster det ned og ser på innholdet.
Som vi ser er det et potensielt passordhint i dokumentet. “Needle.” Dette kan være nyttig i fremtiden.
I neste del tar vi for oss initial access.