फ़ॉरेस्ट एक संवेदनशील विंडोज बॉक्स है, जो ब्लडहाउंड के साथ विंडोज एक्टिव डायरेक्ट्री शोषण के साथ कुछ महान अभ्यास की अनुमति देता है, मैंने इस विषय पर एक संपूर्ण ट्यूटोरियल लिखा।

जैसा कि सभी बक्से का नाम है, इसका एक अर्थ है और यह विंडोज सक्रिय निर्देशिका वन से संबंधित है।

प्रारंभिक गणना

ऐसा लगता है कि लक्ष्य कुछ सेवाओं को चला रहा है और कुछ मेरी नज़र को पकड़ते हैं। मैं SMB के लिए भेद्यता जांच के लिए कुछ Nmap स्क्रिप्ट चलाने की कोशिश करता हूं, लेकिन कोई आश्चर्य नहीं कि ये सभी बेकार हैं।

यह पता लगाने के लिए एक नया उद्घाटन छोड़ता है, 5985 खुला है।

मेरे SMB गणन के भाग के रूप में enum4linux चलाने के बाद, मुझे एक खाता दिखाई देता है जो एक सेवा खाते की तरह दिखता है। इस तरह के खातों में कुख्यात पासवर्ड होते हैं।

केर्बरोस शोषण

मैं गैर-प्रचार प्रतिक्रियाओं को डंप करने के लिए Impacket’s GetNPUsers.py का उपयोग करता हूं जिसमें यह अनुरोध करने वाले उपयोगकर्ता खाते का हैशेड NTLM पासवर्ड होता है।

LDAP क्वेरी का उपयोग करके आप अपने डोमेन खातों में कर्बरोस पूर्व प्रमाणीकरण के बिना उपयोगकर्ताओं की एक सूची ले सकते हैं।

इस Impacket स्क्रिप्ट GetNPUser.py का उपयोग KDC से गैर-उपदेश AS_REP प्रतिक्रियाओं को इकट्ठा करने के लिए किया जाता है।

मेरे पास समस्याएँ तब तक थीं जब तक कि मैंने -wordlist ध्वज के संस्करण का उपयोग नहीं किया, -w: / wordlist लेकिन जब मैं ऐसा करता हूँ कि मुझे पता है कि खाता के लिए पासवर्ड s3rvice है!

एचटीबी वन: ईविल-विंटरम

Windows दूरस्थ प्रबंधन सेवा खुली है और मेरे पास अब परीक्षण करने के लिए क्रेडेंशियल्स हैं, इसलिए मैं बुराई-वाइन को एक रूबी शोषण शेल स्क्रिप्ट का उपयोग करूंगा।

मैं एक के साथ बुराई winrm स्थापित मणि स्थापित बुराई- winrm जो / var / lib / जवाहरात में पाया जा सकता है।

सुविधा वृद्धि

इसे मैन्युअल रूप से या ACLPWN के साथ स्वचालित रूप से करने का विकल्प है।

PowerView.ps1 की आवश्यकता है मुझ पर विश्वास करो जुड़ा हुआ संस्करण सबसे अच्छा है जो आप पाएंगे।

इस विवरण को याद न करें! आपको लक्ष्य का IP निर्दिष्ट करना होगा या यह विफल हो जाएगा।

पथ 0 चुनना है या यह काम नहीं करेगा!

एचटीबी फॉरेस्ट: ब्लडहाउंड

मुझे एक महान सेवा, हैक द बॉक्स से एक व्यावहारिक उदाहरण शामिल नहीं करने के लिए रिमिस किया जाएगा। मैं Invoke-Bloodhound.ps1 स्क्रिप्ट का उपयोग कर रहा हूं जो कि डिस्क पर लिखे गए कुछ भी नहीं छोड़ने पर मेमोरी में निष्पादित होता है।

मैं इसे एक बुराई-winrm शेल में लोड कर रहा हूं, लेकिन आप स्क्रिप्ट अपलोड कर सकते हैं और इसका उपयोग भी कर सकते हैं।

मैं ज़िप वापस काली में कैसे स्थानांतरित करूं?

तो आपके पास Invoke-Bloodhound.ps1 का आउटपुट है लेकिन आप इसे काली बॉक्स में वापस कैसे लाते हैं? आप नेटकैट की कोशिश कर सकते हैं लेकिन गधे में दर्द क्या होता है इसलिए वास्तव में एक बेहतर तरीका है।

इस तरह से इम्पेकेट शुरू हो रहा है smbserver.py kali। और फिर उस लक्ष्य को विंडोज लक्ष्य से माउंट करें।

और काली की तरफ से यह गतिविधि नीचे दी गई है।

यह एक लक्ष्य पर राइट क्लिक करने में भी मदद करता है और चयन करता है कि एक लक्ष्य उस स्वामित्व का है जिस तरह से समग्र प्रगति स्पष्ट है।

मेरा स्वामित्व वाला सेवा खाता एक्सचेंज विंडोज अनुमतियों के समूह का हिस्सा है जिसमें राइट डीएसीएल अनुमति है जिसका मतलब है कि मैं डोमेन ऑब्जेक्ट में एसीएल जोड़ सकता हूं।

फिर इसका मतलब यह है कि मैं उस समूह में डोमेन उपयोगकर्ता जोड़ सकता हूं और शोषण के लिए DCSync विशेषाधिकार जोड़ सकता हूं।

HTB वन: ACLPwn ट्यूटोरियल

ये दो उपकरण हाथ से चलते हैं। Aclpwn स्वचालित रूप से ब्लडहाउंड फ़ाइलों को पढ़ेगा और शोषण के लिए संभावित रास्ते का पता लगाएगा। फिर आप इसका उपयोग उस पथ का उपयोग करने के लिए कर सकते हैं जिसे आप चुनते हैं।

Aclpwn शुरू करने के लिए आपको पहले शुरू करना होगा neo4j कंसोल तब आप इसका उपयोग कर सकते हैं और मुझे आमतौर पर डीबी क्रेडेंशियल्स को निर्दिष्ट करना होगा।

Secretsdump.py और svc-alfresco खाते का उपयोग करके मैं अब मशीन पर सभी खातों के लिए पासवर्ड हैश को डंप करता हूं।

अब मैं अंतिम समय के लिए लक्ष्य तक पहुँचने के लिए प्रशासक के NTLM हैश के साथ फिर से दुष्ट-winrm का उपयोग करता हूं।

यह बॉक्स वन वॉकथ्रू हैक के लिए है!