Game of Active Directory to specjalnie zaprojektowane laboratorium do nauki testów penetracyjnych środowisk Active Directory. Jest to w pełni funkcjonalne środowisko AD zawierające różne podatności i błędne konfiguracje, które można wykorzystać do nauki technik red teamingu. GOAD symuluje rzeczywiste środowisko korporacyjne z wieloma domenami, relacjami zaufania i typowymi błędami konfiguracyjnymi spotykanych w prawdziwych sieciach firmowych.
W tym walkthrough GOAD znajduje się w sieci 192.168.40.0/24
Rekonesans i skanowanie sieci
Pierwszy krok to zawsze rozpoznanie środowiska – musimy zidentyfikować aktywne hosty w sieci oraz uruchomione na nich usługi.
Wykrywanie aktywnych hostów
nmap 192.168.40.0/24 -snNmap to wszechstronne narzędzie do skanowania sieci i audytu bezpieczeństwa. Parametr -sn wykonuje „ping scan” – sprawdza które hosty są aktywne bez skanowania portów, co jest szybsze i mniej inwazyjne.
Skanowanie usług
nmap 192.168.40.10-23 -sV -oN skan.txtParametr -sV włącza wykrywanie wersji usług, a -oN zapisuje wyniki do pliku. Ten skan ujawnia otwarte porty i wersje uruchomionych usług.
Przechwytywanie hashów – atak Responder
responder -I eth0 -dw -vResponder to narzędzie do przechwytywania hashy uwierzytelniania w sieciach Windows. Działa jako fałszywy serwer dla róResponder to narzędzie do przechwytywania hashey uwierzytelniania w sieciach Windows poprzez zatruwanie protokołów rozpoznawania nazw. Działa poprzez odpowiadanie na zapytania LLMNR (Link-Local Multicast Name Resolution), NBT-NS (NetBIOS Name Service) oraz mDNS, podszywając się pod żądane zasoby sieciowe. Parametry:
-I eth0– określa interfejs sieciowy-d– włącza serwer DHCP-w– włącza serwer WPAD (Web Proxy Auto-Discovery)-v– tryb verbose (szczegółowe informacje)
Gdy użytkownik próbuje połączyć się z nieistniejącym zasobem sieciowym (np. przez błędnie wpisaną nazwę), Windows wysyła zapytania LLMNR/NBT-NS do sieci. Responder odpowiada na te zapytania, kierując ruch na siebie i zmuszając ofiarę do uwierzytelnienia się. W ten sposób przechwytuje hash uwierzytelniania NetNTLMv2.
Wynik: Przechwycony hash użytkownika ROBB.STARK z domeny NORTH.
Łamanie hasła – Hashcat
hashcat -m 5600 hash.txt /usr/share/wordlists/rockyou.txt.gz -OHashcat to zaawansowane narzędzie do łamania haseł obsługujące różne algorytmy haszujące. Parametry:
-m 5600– tryb dla hashey NetNTLMv2-O– optymalizacja dla GPU (przyspiesza proces)rockyou.txt.gz– popularna wordlista zawierająca miliony najczęściej używanych haseł
Po pewnym czasie hashcat odszyfrowuje hasło użytkownika Robb Stark, dając nam pierwsze prawidłowe poświadczenia w środowisku AD.
Dalsze możliwości eksploitacji
Z otrzymanymi poświadczeniami otwierają się nowe ścieżki ataku:
Pass-the-Hash
Wykorzystanie przechwyconych hashey do uwierzytelniania bez znajomości hasła w postaci jawnej.
Enumeracja zasobów SMB
Przeglądanie udostępnionych folderów sieciowych w celu znalezienia wrażliwych danych lub dalszych poświadczeń.
BloodHound
Analiza struktur Active Directory w celu znalezienia ścieżek eskalacji uprawnień prowadzących do pełnej kompromitacji domeny.
Podsumowanie
Analiza struktur Active Directory w celu znalezienia ścieżek eskalacji uprawnień prowadzących do pełnej kompromitacji domeny.
W tym wpisie zaprezentowałem podstawową ścieżkę kompromitacji środowiska GOAD – od rekonesansu sieci, przez przechwytywanie ruchu sieciowego, aż po złamanie pierwszego hasła użytkownika. Wykorzystaliśmy klasyczne narzędzia pentestera: Nmap do skanowania, Responder do przechwytywania hashy i Hashcat do ich łamania.
Zdobycie pierwszych poświadczeń to dopiero początek zabawy z GOAD. W środowisku Active Directory prawdziwa magia dzieje się podczas eskalacji uprawnień – od zwykłego użytkownika do Domain Admina.
Co nas czeka w kolejnych wpisach?
- Szczegółowa enumeracja środowiska AD z wykorzystaniem BloodHound
- Techniki eskalacji uprawnień (Kerberoasting, ASREPRoasting, DCSync)
- Ataki na relacje zaufania między domenami
- Kompletna kompromitacja całego lasu Active Directory
Obserwuj blog, aby nie przegapić kolejnych walkthroughów!