В предыдущей статье, в рамках прохождения Hack The Box Outdated, мы познакомились с фреймворком Havoc. Сегодня продолжим и рассмотрим инструмент BloodHound.
Еще по теме: Атаки на службы сертификатов Active Directory
Использование BloodHound для прохождения HTB Outdated
Теперь нам нужно понять, куда двигаться дальше. Для этого мы используем очень крутую программу — BloodHound. В ней используется теория графов для выявления скрытых и часто непреднамеренных взаимосвязей в среде Active Directory.
BloodHound можно использовать, чтобы идентифицировать очень сложные пути атаки, которые иначе было бы невозможно быстро идентифицировать.
Так как у нас нет учетных данных пользователя домена, нам предстоит использовать версию программы на C# на целевом хосте. Благо Havoc позволяет выполнять сборки .NET прямо в памяти без загрузки исполняемого файла на хост. Для этого используем команду:
1 |
dotnet inline-execute |
После чего скачиваем файл с собранной информацией на командный сервер командой download.
1 |
dotnet inline-execute /home/ralf/tools/SHARP/Discovery/SharpHound.exe -c All |
Скачанные файлы можно будет найти в хранилище Havoc.
Для работы с выходным файлом BloodHound нужно установить СУБД Neo4j и графическую оснастку bloodhound для построения графа связей.
1 |
sudo apt install neo4j bloodhound |
Запустим установленную Neo4j командо:
1 |
sudo neo4j console |
После сообщения об успешном старте, через браузер зайдем на:
1 |
localhost:7474 |
Нам сразу предложат установить пароль. После установки пароля запускаем BloodHound (команда bloodhound в командной строке) и авторизуемся с только что установленным паролем.
Когда откроется пустое окошко, закидываем в него полученный архив. А затем в поле поиска указываем группу пользователей. На экране будут отображены все пользователи из этой группы, среди которых найдем подконтрольного нам и пометим как Mark User as Owned. На иконке пользователя должен появиться череп.
Затем попросим BloodHound найти путь продвижения к другим пользователям от уже взломанного (которого мы только пометили) — опция Shortest Path from Owned Principals в графе аналитики.
Так мы получим маршрут к захвату пользователя sflowers, который является администратором WSUS, но об этом поговорим уже при повышении привилегий. Сейчас же нам интересна группа ITSTAFF, которая имеет право AddKeyCredentialLink для учетной записи sflowers.
Тут мы можем воспользоваться Shadow Credentials. В следующей статье продолжим прохождение HTB Outdated и рассмотрим технику атаки Shadow Credentials.
ПОЛЕЗНЫЕ ССЫЛКИ: