Использование bloodyAD для работы с LDAP на Kali Linux

bloodyAD использование LDAP Kali Linux

Продолжим прохождение уязвимой машины Rebound с площадки Hack The Box. В предыдущей статье рассмотрели пример атак Kerberoasting и AS-REP Roasting. Сегодня покажу, как использовать инструмент bloodyAD для работы с LDAP на Kali Linux.

Еще по теме: Пример использования Certify и Certipy с AD CS

Использование bloodyAD для работы с LDAP на Kali Linux

Те­перь, ког­да у нас есть валид­ные учет­ные записи, собира­ем дан­ные для BloodHound. Для это­го исполь­зуем скрипт на Python. Но сна­чала обно­вим запись в фай­ле /etc/hosts и син­хро­низи­руем вре­мя с уда­лен­ным хос­том.

Сбор дан­ных BloodHound
Сбор дан­ных BloodHound

От­меча­ем под­кон­троль­ных нам поль­зовате­лей как Owned и про­водим ана­лиз. Но к сожале­нию, ничего инте­рес­ного най­ти не уда­лось. Тог­да поп­робу­ем сдам­пить базу LDAP и про­верить раз­решения вруч­ную. Для работы с LDAP я исполь­зую скрипт bloodyAD.

Ба­за сох­ранена в файл ldap_dump.txt, из которо­го отфиль­тру­ем все стро­ки, содер­жащие име­на и SID под­кон­троль­ных поль­зовате­лей.

Вы­вод коман­ды grep
Вы­вод коман­ды grep

Так как нас инте­ресу­ют толь­ко раз­решения, оста­новим­ся на пер­вой стро­ке вывода. Откры­ваем тек­сто­вый редак­тор и находим ее через поиск. Этот ACL отно­сит­ся к объ­екту ServiceMgmt.

LDAP записи объ­екта ServiceMgmt
LDAP записи объ­екта ServiceMgmt

Та­ким обра­зом, поль­зователь oorend (SID S-1-5-21-40…7682) может добав­лять поль­зовате­лей в груп­пу ServiceMgmt. Пометим эту груп­пу как Owned и для поис­ка даль­нейше­го пути сно­ва попыта­ем уда­чу в гра­фе BloodHound, на этот раз успешно.

Граф BloodHound
Граф BloodHound

У поль­зовате­лей этой груп­пы есть все пра­ва на под­разде­ление SERVICE USERS, к которо­му отно­сит­ся юзер winrm_svc. Зна­чит, мож­но взять под кон­троль поль­зовате­ля winrm_svc в три эта­па.

Этап пер­вый. Добавить поль­зовате­ля oorend в груп­пу ServiceMgmt.

До­бав­ление поль­зовате­ля в груп­пу
До­бав­ление поль­зовате­ля в груп­пу

Этап вто­рой. Добавить поль­зовате­лю oorend все пра­ва на чле­нов под­разде­ления SERVICE USERS.

До­бав­ление прав на объ­ект
До­бав­ление прав на объ­ект

Этап тре­тий. Уста­новить поль­зовате­лю winrm_svc свой пароль.

Сме­на пароля поль­зовате­ля
Сме­на пароля поль­зовате­ля

А теперь исполь­зуем уста­нов­ленные учет­ные дан­ные для авто­риза­ции в служ­бе WinRM.

Использование bloodyAD LDAP Kali Linux

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий