ESC5 — техника повышения привилегий через мисконфиг AD

ESC5 техника повышения привилегий через мисконфиг Active Directory

Мы уже многократно рассказывали про повышение привилегий в Windows. В этот раз, на примере уязвимой виртуальной машины Coder с пло­щад­ки Hack The Box, будем использовать тех­нику ESC5 для повыше­ния при­виле­гий через мис­конфиг служ­бы сер­тифика­ции Active Directory.

Еще по теме: Повышение привилегий Windows с помощью C++

ESC5 — повышение привилегий через мисконфиг AD

Те­перь получим информа­цию о поль­зовате­ле. Нас инте­ресу­ют активные при­виле­гии и груп­пы, в которых он сос­тоит.

Ин­форма­ция о поль­зовате­ле
Ин­форма­ция о поль­зовате­ле

И поль­зователь сос­тоит в груп­пах Certificate Service DCOM Access и PKI Admins, а это дает нам пра­во на регис­тра­цию шаб­лонов сер­тифика­тов в служ­бе сер­тифика­ции Active Directory (AD CS) и на выпуск сер­тифика­тов. Эти усло­вия поз­воля­ют нам повысить при­виле­гии в домене. При­меня­емая нами тех­ника называ­ется ESC5.

Да­вай зарегис­три­руем заранее уяз­вимый шаб­лон сер­тифика­та, для которо­го при­мени­ма тех­ника повыше­ния при­виле­гий ESC1. Взять его мож­но на GitHub. А регис­три­ровать шаб­лон будем с помощью ADCSTemplate для груп­пы PKI Admins.

Ре­гис­тра­ция нового шаб­лона
Ре­гис­тра­ция нового шаб­лона

Те­перь исполь­зуем Certipy, что­бы получить дан­ные о цен­тре сер­тифика­ции и сущес­тву­ющих шаб­лонах.

По­луче­ние информа­ции о цен­тре сер­тифика­ции
По­луче­ние информа­ции о цен­тре сер­тифика­ции

За­регис­три­рован­ный шаб­лон
За­регис­три­рован­ный шаб­лон

Ви­дим соз­данный нами шаб­лон сер­тифика­та и можем зап­росить выпуск сер­тифика­та для поль­зовате­ля Administrator.

Зап­рос сер­тифика­та поль­зовате­ля
Зап­рос сер­тифика­та поль­зовате­ля

Те­перь у нас есть сер­тификат, раз­реша­ющий аутен­тифика­цию поль­зовате­ля. По это­му сер­тифика­ту можем получить NTLM-хеш пароля поль­зовате­ля и выпол­нить ата­ку path the hash. Но есть малень­кий нюанс — нуж­но син­хро­низи­ровать вре­мя с уда­лен­ным сер­вером, исполь­зуя коман­ду ntpdate.

По­луче­ние NTLM-хеша пароля поль­зовате­ля
По­луче­ние NTLM-хеша пароля поль­зовате­ля

Те­перь воз­вра­щаем вре­мя сво­ей машины обратно и под­клю­чаем­ся к сер­веру по WMI с получен­ным хешем.

ESC5 повышение привилегий через мисконфиг AD

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий