फ़ॉरेस्ट एक संवेदनशील विंडोज बॉक्स है, जो ब्लडहाउंड के साथ विंडोज एक्टिव डायरेक्ट्री शोषण के साथ कुछ महान अभ्यास की अनुमति देता है, मैंने इस विषय पर एक संपूर्ण ट्यूटोरियल लिखा।
जैसा कि सभी बक्से का नाम है, इसका एक अर्थ है और यह विंडोज सक्रिय निर्देशिका वन से संबंधित है।
Contents
प्रारंभिक गणना
ऐसा लगता है कि लक्ष्य कुछ सेवाओं को चला रहा है और कुछ मेरी नज़र को पकड़ते हैं। मैं SMB के लिए भेद्यता जांच के लिए कुछ Nmap स्क्रिप्ट चलाने की कोशिश करता हूं, लेकिन कोई आश्चर्य नहीं कि ये सभी बेकार हैं।
यह पता लगाने के लिए एक नया उद्घाटन छोड़ता है, 5985 खुला है।

मेरे SMB गणन के भाग के रूप में enum4linux चलाने के बाद, मुझे एक खाता दिखाई देता है जो एक सेवा खाते की तरह दिखता है। इस तरह के खातों में कुख्यात पासवर्ड होते हैं।
केर्बरोस शोषण
मैं गैर-प्रचार प्रतिक्रियाओं को डंप करने के लिए Impacket’s GetNPUsers.py का उपयोग करता हूं जिसमें यह अनुरोध करने वाले उपयोगकर्ता खाते का हैशेड NTLM पासवर्ड होता है।
LDAP क्वेरी का उपयोग करके आप अपने डोमेन खातों में कर्बरोस पूर्व प्रमाणीकरण के बिना उपयोगकर्ताओं की एक सूची ले सकते हैं।
इस Impacket स्क्रिप्ट GetNPUser.py का उपयोग KDC से गैर-उपदेश AS_REP प्रतिक्रियाओं को इकट्ठा करने के लिए किया जाता है।

मेरे पास समस्याएँ तब तक थीं जब तक कि मैंने -wordlist ध्वज के संस्करण का उपयोग नहीं किया, -w: / wordlist लेकिन जब मैं ऐसा करता हूँ कि मुझे पता है कि खाता के लिए पासवर्ड s3rvice है!

एचटीबी वन: ईविल-विंटरम
Windows दूरस्थ प्रबंधन सेवा खुली है और मेरे पास अब परीक्षण करने के लिए क्रेडेंशियल्स हैं, इसलिए मैं बुराई-वाइन को एक रूबी शोषण शेल स्क्रिप्ट का उपयोग करूंगा।
मैं एक के साथ बुराई winrm स्थापित मणि स्थापित बुराई- winrm जो / var / lib / जवाहरात में पाया जा सकता है।
माणिक दुष्ट-विर्म -I 10.10.10.161 -u svc-alfresco -p s3rvice -s ‘/ home / kali / ps1_scripts’ -e ‘/ usr / share / windows-binaries’
माणिक बुराई–winrm –मैं 10.10.10.161 –यू एसवीसी–खुली हवा में –पी s3rvice –रों ‘/ घर / काली / ps1_scripts’ –इ ‘/ Usr / share / windows-बाइनरी’ |
सुविधा वृद्धि
इसे मैन्युअल रूप से या ACLPWN के साथ स्वचालित रूप से करने का विकल्प है।
PowerView.ps1 की आवश्यकता है मुझ पर विश्वास करो जुड़ा हुआ संस्करण सबसे अच्छा है जो आप पाएंगे।
1. 1. neo4j कंसोल के साथ neo4j db शुरू करें फिर 2. aclpwn चलाएं
है सेवा 1। शुरू neo4j डाटाबेस साथ में neo4j कंसोल फिर 2। Daud aclpwn |
इस विवरण को याद न करें! आपको लक्ष्य का IP निर्दिष्ट करना होगा या यह विफल हो जाएगा।
./local/bin/aclpwn -du neo4j -dp neo4j1 -f svc-alfresco -ft user -d htb.local -s 10.10.10.161
।/।स्थानीय/बिन/aclpwn –डु neo4j –डी पी neo4j1 –च एसवीसी–खुली हवा में –फुट उपयोगकर्ता –घ htb।स्थानीय –रों 10.10.10.161 |
पथ 0 चुनना है या यह काम नहीं करेगा!
एचटीबी फॉरेस्ट: ब्लडहाउंड
मुझे एक महान सेवा, हैक द बॉक्स से एक व्यावहारिक उदाहरण शामिल नहीं करने के लिए रिमिस किया जाएगा। मैं Invoke-Bloodhound.ps1 स्क्रिप्ट का उपयोग कर रहा हूं जो कि डिस्क पर लिखे गए कुछ भी नहीं छोड़ने पर मेमोरी में निष्पादित होता है।
मैं इसे एक बुराई-winrm शेल में लोड कर रहा हूं, लेकिन आप स्क्रिप्ट अपलोड कर सकते हैं और इसका उपयोग भी कर सकते हैं।
इनवोक-ब्लडहाउंड-कॉलेक्शन मैथोड ऑल-कैंडल यूवर Svc-account -LDAPPass0wrd
आह्वान–खोजी कुत्ता –CollectionMethod सब –LDAPUser एसवीसी–लेखा –LDAPPass passw0rd |

मैं ज़िप वापस काली में कैसे स्थानांतरित करूं?
तो आपके पास Invoke-Bloodhound.ps1 का आउटपुट है लेकिन आप इसे काली बॉक्स में वापस कैसे लाते हैं? आप नेटकैट की कोशिश कर सकते हैं लेकिन गधे में दर्द क्या होता है इसलिए वास्तव में एक बेहतर तरीका है।
इस तरह से इम्पेकेट शुरू हो रहा है smbserver.py kali। और फिर उस लक्ष्य को विंडोज लक्ष्य से माउंट करें।

और काली की तरफ से यह गतिविधि नीचे दी गई है।

यह एक लक्ष्य पर राइट क्लिक करने में भी मदद करता है और चयन करता है कि एक लक्ष्य उस स्वामित्व का है जिस तरह से समग्र प्रगति स्पष्ट है।

मेरा स्वामित्व वाला सेवा खाता एक्सचेंज विंडोज अनुमतियों के समूह का हिस्सा है जिसमें राइट डीएसीएल अनुमति है जिसका मतलब है कि मैं डोमेन ऑब्जेक्ट में एसीएल जोड़ सकता हूं।
फिर इसका मतलब यह है कि मैं उस समूह में डोमेन उपयोगकर्ता जोड़ सकता हूं और शोषण के लिए DCSync विशेषाधिकार जोड़ सकता हूं।

HTB वन: ACLPwn ट्यूटोरियल
ये दो उपकरण हाथ से चलते हैं। Aclpwn स्वचालित रूप से ब्लडहाउंड फ़ाइलों को पढ़ेगा और शोषण के लिए संभावित रास्ते का पता लगाएगा। फिर आप इसका उपयोग उस पथ का उपयोग करने के लिए कर सकते हैं जिसे आप चुनते हैं।
Aclpwn शुरू करने के लिए आपको पहले शुरू करना होगा neo4j कंसोल तब आप इसका उपयोग कर सकते हैं और मुझे आमतौर पर डीबी क्रेडेंशियल्स को निर्दिष्ट करना होगा।

Secretsdump.py और svc-alfresco खाते का उपयोग करके मैं अब मशीन पर सभी खातों के लिए पासवर्ड हैश को डंप करता हूं।

अब मैं अंतिम समय के लिए लक्ष्य तक पहुँचने के लिए प्रशासक के NTLM हैश के साथ फिर से दुष्ट-winrm का उपयोग करता हूं।

यह बॉक्स वन वॉकथ्रू हैक के लिए है!