Когда дело доходит до управления исправлениями и циклов, многие организации не спешат внедрять исправления через свои сети. Благодаря этому мы можем быстро выиграть либо в начальном доступе, либо в повышении привилегий домена, используя совсем новую тактику. На момент составления материала три техники появились относительно недавно. Это сложные темы, которые невозможно подробно осветить в одном разделе модуля. Цель демонстрации этих атак - дать студентам возможность опробовать новейшие и наиболее эффективные атаки в контролируемой лабораторной среде и представить темы, которые будут очень подробно рассмотрены в более продвинутых модулях Active Directory. Как и в случае с любой атакой, если вы не понимаете, как они работают или какой риск они могут представлять для производственной среды, было бы лучше не пытаться использовать их во время реального взаимодействия с клиентом. Как говорится, эти методы можно считать "безопасными" и менее разрушительными, чем такие атаки, как Zerologon или DCShadow. Тем не менее, мы всегда должны проявлять осторожность, делать подробные заметки и общаться с нашими клиентами. Все атаки сопряжены с риском. Например, PrintNightmare атака потенциально может привести к сбою службы диспетчера очереди печати на удаленном хосте и вызвать перебои в работе службы.
Как специалисты по информационной безопасности в быстро меняющейся области, мы должны быть в курсе последних атак и новых инструментов и техник.
В этом разделе мы выполним все примеры с хоста атаки Linux. Вы можете создать хосты для этого раздела в конце этого раздела и подключиться по SSH к хосту атаки Linux ATTACK01. В части этого раздела, демонстрирующей взаимодействие с хостом Windows (с использованием Rubeus и Mimikatz), вы могли бы создать хост атаки MS01 в предыдущем или следующем разделе и использовать большой двоичный объект сертификата base64, полученный с помощью ntlmrelayx.py и petitpotam.py, для выполнения той же атаки с передачей билета с использованием Rubeus, как показано в конце этого раздела.
Отличным примером возникающей угрозы является уязвимость Sam_The_Admin, также называемая noPac или упоминаемая как SamAccountName Spoofing выпущенная в конце 2021 года. Эта уязвимость охватывает два CVE 2021-42278 и 2021-42287, позволяя повысить внутридоменные привилегии от любого обычного пользователя домена до доступа уровня администратора домена одной командой. Вот краткое описание того, что предоставляет каждый CVE в отношении этой уязвимости.
| 42278 | 42287 |
|---|---|
42278 представляет собой уязвимость для обхода с помощью Security Account Manager (SAM). |
42287 это уязвимость в сертификате атрибута привилегий Kerberos (PAC) в ADDS. |
Этот путь к эксплойту позволяет изменить SamAccountName учетную запись компьютера на учетную запись контроллера домена. По умолчанию аутентифицированные пользователи могут добавлять до десяти компьютеров в домен. При этом мы меняем имя нового хоста, чтобы оно соответствовало имени sAMAccountName контроллера домена. После завершения мы должны запросить билеты Kerberos, в результате чего сервис будет выдавать нам билеты под именем администратора, а не под новым именем. Когда запрашивается TGS, он выдаст билет с наиболее подходящим именем. После завершения у нас будет доступ как к этой службе, и нам даже может быть предоставлена системная оболочка на контроллере домена. Процесс атаки подробно описан в этом сообщении в блоге.
Мы можем использовать этот инструмент для выполнения этой атаки. Этот инструмент присутствует на хосте ATTACK01 в /opt/noPac.
NoPac использует множество инструментов Impacket для связи, загрузки полезной нагрузки и выдачи команд от хоста атаки целевому DC. Прежде чем пытаться использовать эксплойт, мы должны убедиться, что Impacket установлен и репозиторий эксплойта noPac при необходимости клонирован на наш хост атаки. Для этого мы можем использовать следующие команды.:
Новейшие уязвимости
r00towl@htb[/htb]$ git clone <https://github.com/SecureAuthCorp/impacket.git>
Новейшие уязвимости
r00towl@htb[/htb]$ python setup.py install