Thomas die Hackmaschine mit Höchstgeschwindigkeit auf den IPT-Schienen
Am Freitag, den 31. Mai, waren wir zu einem Active Directory-Workshop bei Bureau Veritas Cybersecurity eingeladen. In diesem Blogbeitrag berichten wir über unsere Erfahrungen und was wir gelernt haben.
Der Workshop wurde von Max Rozendaal und Thomas "the hacking engine" Oldengram gehalten. Sie begannen mit einer kurzen Präsentation, nach der wir ins kalte Wasser geworfen wurden.
Active Directory? Was ist denn das?
Active Directory (AD) ist ein von Microsoft entwickelter Dienst, mit dem Sie den Zugriff auf Konten und Geräte über ein Netzwerk verwalten können. Für diese Funktion werden Domänencontroller (DCs) verwendet. Ein Domänencontroller ist ein Server, der auf Sicherheitsauthentifizierungsanfragen innerhalb des Netzwerks antwortet, z.B. bei der Anmeldung, beim Zugriff auf Ressourcen und bei der Überprüfung von Berechtigungen.
Innerhalb der Active Directory-Umgebung verfügen Domänen über eine Sammlung von Active Directory-Objekten, wie Benutzer, Gruppen, Computer und andere Ressourcen. Eine Gruppe von Domänen innerhalb einer solchen Umgebung wird als Baum bezeichnet, und eine Sammlung von Bäumen wird als Wald bezeichnet.
Vertrauen ist ein Mechanismus, mit dem Benutzer Zugriff auf Ressourcen in einer anderen Domäne erhalten. Vertrauen kann auf drei Arten hergestellt werden:
- Einseitiges Vertrauen
- Bidirektionales Vertrauen (Standard)
- Transitives Vertrauen, das das Vertrauen auf andere Domänen ausdehnt.
Labor-Einrichtung
Der Hacking-Workshop drehte sich um ein "Game Of Active Directory" (GOAD), das von Mayfly277 entwickelt wurde und hier zu finden ist: https://github.com/Orange-Cyberdefense/GOAD
Wir wurden über 2 relevante Domänen informiert:
- DC01: 192.168.56.10 (sevenkingdoms.local)
- DC02: 192.168.56.11 (winterfell.north.sevenkingdoms.local)
Unser Sprung-Server war 13.94.204.183, auf den wir über SSH zugreifen konnten.
Dieser Blogbeitrag enthält Spoiler für einige der von Mayfly277 entwickelten "Game Of Active Directory"-Herausforderungen.
Wir betreten das Reich von Active Directory: NULL Sitzungen!
Für die erste Herausforderung mussten wir so viele Konten wie möglich kompromittieren, indem wir die Konten in unserer Active Directory-Umgebung mit Kennwörtern besprühen. Um dies zu erreichen, versuchten wir herauszufinden, welche Konten mit den Domänen verbunden waren. Wir wurden angewiesen, mit der Domäne winterfell.north.sevenkingdoms.local zu beginnen. Wir können uns mit einer NULL-Sitzung anmelden (eine Sitzung ohne Benutzernamen oder Kennwort) und die Benutzer in der Domäne aufzählen.
Wie wir sehen, hat Samwell Tarly in seiner Beschreibung das Kennwort"Heartbane", also lassen Sie uns ein Kennwortspray mit diesem Kennwort durchführen.
Zunächst erstellen wir eine Liste der Benutzer mit dem folgenden Befehl:
'nxc smb 192.168.56.11 -u '' -p '' --users | awk '{ print $5 }' users.txt Und verwenden Sie diese Liste, um das Passwort-Spray zu verwenden:
Wir sehen, dass wir tatsächlich eine Anmeldung für den Benutzer Samwell Tarley erhalten. Manchmal verwenden mehrere Benutzer in der Domäne das gleiche Kennwort. Leider ist Samwell Tarley der einzige, der das Kennwort Heartbane verwendet, so dass dies bei uns nicht der Fall ist.
Aber da ist noch mehr! Wir wurden von Max und Thomas darüber informiert, dass manchmal unsichere Passwörter für Konten verwendet werden. Beliebte Passwörter sind die Jahreszeit mit einer Jahreszahl, der Name des Unternehmens oder der Kontoname. Also haben wir auch die Passwörter der Benutzer in der oben genannten Domäne überprüft, indem wir das Passwort ihres Benutzernamens als Passwort verwendet haben. Und es gelang uns, eine Übereinstimmung für den Benutzer hodor zu erhalten.
Zertifikat-Terror
Die zweite Herausforderung bestand darin, Domänenadministrator zu werden, indem wir ein Zertifikat für ein solches Konto anforderten. Wir haben bereits zwei Konten für winterfell.north.sevenkingdoms.local gefunden, aber um etwas Zeit zu sparen, wurde uns auch ein Konto für die Domain sevenkingdoms.local gegeben: Renly.Baratheon:lorastyrell.
Wir verwendeten den folgenden Befehl, um anfällige Konfigurationen der Active Directory-Zertifikatsdienste unter Verwendung der Anmeldeinformationen von renly.baratheon zu finden:
user@ubuntu-jumpbox:~$ certipy find -vulnerable -u renly.baratheon -p lorastyrell -dc-ip 192.168.56.10 -stdoutIn der Ausgabe dieses Befehls erhalten wir den Vorlagennamen und die Zertifizierungsstelle:
Vorlagenname : ESC1 Anzeigename : ESC1 Zertifizierungsstellen : SEVENKINGDOMS-CADer nächste Schritt bestand nun darin, ein Zertifikat für das Domänenadministratorkonto ADMINISTRATOR anzufordern, ein Konto auf der Domäne SEVENKINGDOMS.LOCAL, das wir mit bloodhound gefunden haben.
user@ubuntu-jumpbox:~$ certipy req -u renly.baratheon@SEVENKINGDOMS.LOCAL -p lorastyrell -target-ip 192.168.56.10 -ca SEVENKINGDOMS-CA -template ESC1 -upn ADMINISTRATOR@SEVENKINGDOMS.LOCAL Certipy v4.8.2 - von Oliver Lyak (ly4k) [*] Zertifikat über RPC angefordert [*] Zertifikat erfolgreich angefordert [*] Anforderungs-ID ist 22 [*] Zertifikat mit UPN 'ADMINISTRATOR@SEVENKINGDOMS.LOCAL' erhalten [*] Zertifikat hat keine Objekt-SID [*] Zertifikat und privaten Schlüssel in 'administrator.pfx' gespeichertAls nächstes erhalten wir den Passwort-Hash für das Administratorkonto.
Und wir sind drin! Juhu!
Abschließende Gedanken
Wir möchten uns bei Max und Thomas für den tollen Workshop bedanken. Es war großartig, von ihnen aus erster Hand zu erfahren, wie sie Active Directory-Angriffe nutzen, um in die Server ihrer Kunden einzubrechen. Es war besonders interessant, von ihnen zu hören, wie Red Team AD-Konten nutzt, um viel mehr Schaden anzurichten, als wir bisher für möglich hielten. Sie sprachen zum Beispiel darüber, dass AD-Passwörter manchmal auch außerhalb einer AD-Umgebung verwendet werden, was es ihnen ermöglicht, andere Dienste zu übernehmen, die auf den ersten Blick nicht mit ihrem Netzwerk verbunden zu sein scheinen.
Alles in allem hatten wir eine wirklich gute Zeit und hoffen, dass wir bald wieder an einem Workshop teilnehmen können.
Lisanne und Michel
