Использование BloodHound для прохождения HTB Outdated

Hack The Box

В предыдущей статье, в рамках прохождения Hack The Box Outdated, мы познакомились с фреймворком Havoc. Сегодня продолжим и рассмотрим инструмент BloodHound.

Еще по теме: Атаки на службы сертификатов Active Directory

Использование BloodHound для прохождения HTB Outdated

Те­перь нам нуж­но понять, куда дви­гать­ся даль­ше. Для это­го мы исполь­зуем очень кру­тую прог­рамму — BloodHound. В ней исполь­зует­ся теория гра­фов для выяв­ления скры­тых и час­то неп­редна­мерен­ных вза­имос­вязей в сре­де Active Directory.

BloodHound мож­но исполь­зовать, что­бы иден­тифици­ровать очень слож­ные пути ата­ки, которые ина­че было бы невоз­можно быс­тро иден­тифици­ровать.

Так как у нас нет учет­ных дан­ных поль­зовате­ля домена, нам пред­сто­ит исполь­зовать вер­сию прог­раммы на C# на целевом хос­те. Бла­го Havoc поз­воля­ет выпол­нять сбор­ки .NET пря­мо в памяти без заг­рузки исполня­емо­го фай­ла на хост. Для это­го исполь­зуем коман­ду:

Пос­ле чего ска­чива­ем файл с соб­ранной информа­цией на коман­дный сер­вер коман­дой download.

Ска­чан­ные фай­лы мож­но будет най­ти в хра­нили­ще Havoc.

Хра­нили­ще Havoc
Хра­нили­ще Havoc

Для работы с выход­ным фай­лом BloodHound нуж­но уста­новить СУБД Neo4j и гра­фичес­кую оснас­тку bloodhound для пос­тро­ения гра­фа свя­зей.

За­пус­тим уста­нов­ленную Neo4j коман­до:

Пос­ле сооб­щения об успешном стар­те, через бра­узер зай­дем на:

Нам сра­зу пред­ложат уста­новить пароль. Пос­ле уста­нов­ки пароля запус­каем BloodHound (коман­да bloodhound в коман­дной стро­ке) и авто­ризу­емся с толь­ко что уста­нов­ленным паролем.

Ког­да откро­ется пус­тое окош­ко, закиды­ваем в него получен­ный архив. А затем в поле поис­ка ука­зыва­ем груп­пу поль­зовате­лей. На экра­не будут отоб­ражены все поль­зовате­ли из этой груп­пы, сре­ди которых най­дем под­кон­троль­ного нам и пометим как Mark User as Owned. На икон­ке поль­зовате­ля дол­жен появить­ся череп.

Затем поп­росим BloodHound най­ти путь прод­вижения к дру­гим поль­зовате­лям от уже взло­ман­ного (которо­го мы толь­ко помети­ли) — опция Shortest Path from Owned Principals в гра­фе ана­лити­ки.

Граф прод­вижения
Граф прод­вижения

Так мы получим мар­шрут к зах­вату поль­зовате­ля sflowers, который явля­ется адми­нис­тра­тором WSUS, но об этом погово­рим уже при повыше­нии при­виле­гий. Сей­час же нам инте­рес­на груп­па ITSTAFF, которая име­ет пра­во AddKeyCredentialLink для учет­ной записи sflowers.

Тут мы можем вос­поль­зовать­ся Shadow Credentials. В следующей статье продолжим прохождение HTB Outdated и рассмотрим технику атаки Shadow Credentials.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий