Существует множество других атак и интересных неправильных настроек, с которыми мы можем столкнуться во время оценки. Широкое понимание всех тонкостей AD поможет нам мыслить нестандартно и выявлять проблемы, которые другие, скорее всего, не заметят.
В этом разделе мы будем перемещаться между хостами атак для Windows и Linux, работая с различными примерами. Вы можете создать хосты для этого раздела в конце этого раздела и RDP для хоста атаки MS01 Windows. Для частей этого раздела, требующих взаимодействия с хостом Linux, вы можете открыть консоль PowerShell в MS01 и использовать SSH для 172.16.5.225 использования учетных данных htb-student:HTB_@cademy_stdnt!.
Установка Microsoft Exchange по умолчанию в среде AD (без модели раздельного администрирования) открывает множество путей атаки, поскольку Exchange часто предоставляются значительные привилегии в домене (через пользователей, группы и списки управления доступом). Группа Exchange Windows Permissions не указана в списке защищенных групп, но участникам предоставлена возможность записывать DACL в доменный объект. Это можно использовать для предоставления пользователю привилегий DCSync. Злоумышленник может добавлять учетные записи в эту группу, используя неправильную конфигурацию DACL (возможно) или используя скомпрометированную учетную запись, входящую в группу Операторов учетных записей. В этой группе часто можно найти учетные записи пользователей и даже компьютеры. Опытные пользователи и сотрудники службы поддержки в удаленных офисах часто добавляются в эту группу, что позволяет им сбрасывать пароли. В этом репозитории на GitHub подробно описаны несколько методов использования Exchange для повышения привилегий в среде AD.
Группа Exchange Organization Management - еще одна чрезвычайно мощная группа (фактически "Администраторы домена" Exchange), которая может получить доступ к почтовым ящикам всех пользователей домена. Системные администраторы нередко являются членами этой группы. Эта группа также имеет полный контроль над подразделением с именем Microsoft Exchange Security Groups, в котором находится группа Exchange Windows Permissions.
Если мы сможем скомпрометировать сервер Exchange, это часто приведет к потере прав администратора домена. Кроме того, при сбросе учетных данных в память с сервера Exchange будут созданы 10, если не 100, учетных данных в виде открытого текста или хэшей NTLM. Это часто происходит из-за того, что пользователи входят в Outlook Web Access (OWA), а Exchange кэширует их учетные данные в памяти после успешного входа в систему.
PrivExchange Атака является результатом сбоя в функции Exchange Server PushSubscription, которая позволяет любому пользователю домена с почтовым ящиком принудительно выполнять аутентификацию Exchange server на любом хосте, предоставленном клиентом, по протоколу HTTP.
Служба Exchange работает как СИСТЕМА и по умолчанию имеет повышенные привилегии (т. Е. Имеет привилегии WriteDacl в обновлении домена до 2019 года). Этот недостаток можно использовать для ретрансляции в LDAP и дампа базы данных NTDS домена. Если мы не можем ретранслировать в LDAP, это можно использовать для ретрансляции и аутентификации на других хостах в домене. Эта атака приведет вас непосредственно к администратору домена с любой аутентифицированной учетной записью пользователя домена.
Ошибка принтера - это недостаток протокола MS-RPRN (Удаленный протокол системы печати). Этот протокол определяет взаимодействие при обработке заданий печати и управлении системой печати между клиентом и сервером печати. Чтобы использовать этот недостаток, любой пользователь домена может подключиться к именованному каналу спула с помощью RpcOpenPrinter метода и использовать RpcRemoteFindFirstPrinterChangeNotificationEx метод, а также заставить сервер аутентифицироваться на любом хосте, предоставленном клиентом, через SMB.