目錄
簡介
該靶機又是一臺簡單的Windows Azure Active Directory域控主機。通過枚舉域用戶smb服務發現弱口令,進一步通過共享文件夾泄漏的域用戶mhope的密碼登錄域控主機,接着利用Azure Admins組的權限查詢SQLServer中存儲的域管理員的密碼,進而獲得域管理員權限。
信息收集
端口掃描與服務識別
使用nmap 10.10.10.172 --min-rate 10000 -T5 -p1-65535 -A -sC快速掃描全端口,發現開啓的端口非常多,如圖:
有53,88,389,3268端口,看來是臺Windows域控主機,且域是MEGABANK.LOCAL。
枚舉域信息
先枚舉445端口的共享文件,未發現任何信息,如圖:
然後使用enum4linux繼續枚舉,發現域名和域內用戶等信息,如圖:
漏洞發現
將域內用戶保存到user.txt文件中,然後添加MEGABANK.LOCAL到/etc/hosts文件中,使用然後使用impacket中的GetNPUsers.py枚舉配置不當的用戶的Hash值,未成功,如圖:
暴力破解弱口令
使用hydra和medusa枚舉smb服務用戶名密碼未成功(經過搜索發現hydra和medusa貌似都不支持smb2),使用Nmap也未成功,如圖:
然後使用kerbrute枚舉用戶密碼也未成功,如圖:
使用強大的crackmapexec進行枚舉,執行crackmapexec smb 10.10.10.172 -u user.txt -p user.txt,後成功發現弱口令,如圖:
後來在Google找到了smbv2的暴力破解項目:smbv2attack,如圖:
但是該ruby程序使用單線程,速度較慢。
漏洞利用
然後使用獲取到的弱口令利用5985端口登錄目標主機,但是認證失敗,如圖:
嘗試利用445端口獲得sehll失敗,如圖:
獲得域用戶密碼
然後枚舉用戶SABatchJobs的共享文件,發現可讀文件夾,如圖:
然後遞歸查看文件夾,發現xml文件,如圖:
然後將users$/mhope/azure.xml文件下載到本地並查看,發現一個域用戶密碼,如圖:
由於在mhope目錄下,因此嘗試使用用戶名mhope和該密碼通過5985端口登錄主機,成功獲得用戶mhope的shell,如圖:
權限提升
查看系統版本發現是Windows Server 2019,如圖:
嘗試使用certutil上傳提權輔助工具發現被殺毒軟件阻止了,如圖:
直接使用upload命令上傳成功,如圖:
運行程序之後發現沒有可修改的服務和註冊表,但發現用戶mhope在Azure Admins組,如圖:
且在本地監聽了1434端口,如圖:
經過Google搜索發現可以利用Azure連接SQLServer提取密碼,從而提升權限。這裏我選擇了PowerShell版本的PoC,但是無法直接使用,需要修改連接信息:將$client = new-object System.Data.SqlClient.SqlConnection -ArgumentList "Data Source=(localdb)\.\ADSync;Initial Catalog=ADSync"改爲$client = new-object System.Data.SqlClient.SqlConnection -ArgumentList "Server=127.0.0.1;Database=ADSync;Integrated Security=True",儘管如此,新版PoC在解密時仍然會發生錯誤,如圖:
然後嘗試使用舊版PoC,在修改PoC中數據庫連接信息後,成功獲得administrator用戶的密碼,如圖:
然後通過5985端口登錄,如圖:
總結
該靶機是我第二次對AD域控主機滲透的學習,相比第一次邊學邊做,這次思路清晰了很多。該靶機也是比較簡單,只是在枚舉smb服務時花的時間比較多。