Как мы говорили ранее, есть вариант использовать политику паролей домена несколькими способами, в зависимости от того, как настроен домен и есть ли у нас действительные учетные данные домена. При наличии действительных учетных данных домена политику паролей также можно получить удаленно с помощью таких инструментов, как CrackMapExec или rpcclient.
Перечисление и извлечение политик паролей
r00towl@htb[/htb]$ crackmapexec smb 172.16.5.5 -u avazquez -p Password123 --pass-pol
SMB 172.16.5.5 445 ACADEMY-EA-DC01 [*] Windows 10.0 Build 17763 x64 (name:ACADEMY-EA-DC01) (domain:INLANEFREIGHT.LOCAL) (signing:True) (SMBv1:False)
SMB 172.16.5.5 445 ACADEMY-EA-DC01 [+] INLANEFREIGHT.LOCAL\\avazquez:Password123
SMB 172.16.5.5 445 ACADEMY-EA-DC01 [+] Dumping password info for domain: INLANEFREIGHT
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Minimum password length: 8
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Password history length: 24
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Maximum password age: Not Set
SMB 172.16.5.5 445 ACADEMY-EA-DC01
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Password Complexity Flags: 000001
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Domain Refuse Password Change: 0
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Domain Password Store Cleartext: 0
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Domain Password Lockout Admins: 0
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Domain Password No Clear Change: 0
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Domain Password No Anon Change: 0
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Domain Password Complex: 1
SMB 172.16.5.5 445 ACADEMY-EA-DC01
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Minimum password age: 1 day 4 minutes
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Reset Account Lockout Counter: 30 minutes
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Locked Account Duration: 30 minutes
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Account Lockout Threshold: 5
SMB 172.16.5.5 445 ACADEMY-EA-DC01 Forced Log off Time: Not Set
Без учетных данных мы можем получить политику паролей через сеанс SMB с нулевым значением или анонимную привязку LDAP.
Первый вариант - через сеанс SMB с нулевым значением. Сеансы SMB NULL позволяют злоумышленнику, не прошедшему проверку подлинности, извлекать информацию из домена, такую как полный список пользователей, групп, компьютеров, атрибуты учетной записи пользователя и политику паролей домена. Неправильные настройки нулевого сеанса SMB часто являются результатом обновления устаревших контроллеров домена, что в конечном итоге приводит к появлению небезопасных конфигураций, которые существовали по умолчанию в более старых версиях Windows Server.
При создании домена в более ранних версиях Windows Server к определенным общим ресурсам предоставлялся анонимный доступ, что позволяло перечислять домены. Нулевой сеанс SMB можно легко перечислить. Для перечисления мы можем использовать такие инструменты, как enum4linux, CrackMapExec, rpcclient и т.д.
Мы можем использовать rpcclient для проверки контроллера домена на наличие нулевого сеанса SMB.
После подключения мы можем выполнить команду RPC, такую как querydominfo для получения информации о домене и подтверждения доступа к НУЛЕВОЙ сессии.
Перечисление и извлечение политик паролей
r00towl@htb[/htb]$ rpcclient -U "" -N 172.16.5.5
rpcclient
$> querydominfo
Domain: INLANEFREIGHT
Server:
Comment:
Total Users: 3650
Total Groups: 0
Total Aliases: 37
Sequence No: 1
Force Logoff: -1
Domain Server State: 0x1
Server Role: ROLE_DOMAIN_PDC
Unknown 3: 0x1
Мы также можем получить политику паролей. Мы видим, что политика паролей относительно слабая, позволяя вводить пароль не менее чем из 8 символов.
Перечисление и извлечение политик паролей
rpcclient$> querydominfo
Domain: INLANEFREIGHT
Server:
Comment:
Total Users: 3650
Total Groups: 0
Total Aliases: 37
Sequence No: 1
Force Logoff: -1
Domain Server State: 0x1
Server Role: ROLE_DOMAIN_PDC
Unknown 3: 0x1
rpcclient$> getdompwinfo
min_password_length: 8
password_properties: 0x00000001
DOMAIN_PASSWORD_COMPLEX