Ximo Baeza

Ximo Baeza

Entusiasta del software libre y la ciberseguridad

Ninja Hacker Academy Parte 2

Logo NHA

Introducción

En esta segunda parte, recolectaremos la data de bloodhound, ejecutaremos mimikatz en el sistema comprometido para oobtener credenciales y haremos movimiento lateral a otro sistema en la red.

Partimos del contexto en el que tenemos dos beacons del sistema sql, con la ip 192.168.56.21, uno con la cuenta NT AUTHORITY\NETWORK SERVICE, y otro con privilegios de SYSTEM.

Vamos a editar el fichero hosts de nuestra máquina atacante, para que pueda resolver los nombres de las máquinas del laboratorio. Para ello, netexec nos facilita la tarea, de esta forma:

nxc smb 192.168.56.0/24 --generate-hosts-file hosts.txt

Una de las tareas más importantes a la hora de ejecutar un pentesting en un entorno de active directory, es obtener la data de bloodhound, para poder enumerar en condiciones todo el entorno. Para ello, es posible ejecutar en memoria SharpHouind.exe desde Mythic, que nos proporcionará lo que necesitamos.

Con register_assembly lo cargamos en Mythic, y con execute_assembly lo ejecutamos.

Puede que también te interese

Ninja Hacker Academy Parte 1

En esta serie de artículos vamos a resolver el laboratorio Ninja Hacker Academy de la plataforma GOAD. En esta primera parte veremos una descripción del laboratorio, obtendremos el acceso inicial y escalaremos privilegios en el servidor SQL.

Reflection Vulnlab Chain

En este artículo vamos a resolver el laboratorio Reflection de la plataforma Vulnlab. Para ello haremos cosas tan chulas como un relay de credenciales desde un mssqlclient, o una explotación de rbcd teniendo el machine account quota a cero.

Game of Active Directory - Parte 6

En esta sexta parte vamos a atacar el servidor kingslanding.sevenkingdoms.local, que es el controlador de dominio de sevenkingdoms.local. Nos aprovecharemos de la relación de confianza bidireccional que tiene con el dominio essos.local que, en este caso está configurado con la opción sid-history. Esto nos permitirá crear un golden ticket con acceso total al dominio sevenkingdoms.local y podremos hacer un dcsync obteniendo el hash del administrador.

Game of Active Directory - Parte 5

En esta quinta parte vamos a atacar el controlador de dominio meereen.essos.local. Tras una enumeración del servicio web en braavos.essos.local descubriremos que dispone del rol ADCS. Veremos que es vulnerable y utilizaremos certipy para obtener la cuenta del administrador de dominio en meereen.essos.local. Por último lo conectaremos al command and control Sliver utilizando el archivo generado en el anterior artículo, aprovechando que está preparado para evadir el defender.