Теперь, когда мы закрепились в домене, пришло время копнуть глубже, используя наши учетные данные пользователя домена с низкими привилегиями. Поскольку у нас есть общее представление о базе пользователей и компьютерах домена, пришло время подробно перечислить домен. Нас интересует информация о пользователях домена и атрибутах компьютера, членстве в группах, объектах групповой политики, разрешениях, списках управления доступом, доверии и многом другом. У нас доступны различные варианты, но самое важное, что нужно помнить, это то, что большинство этих инструментов не будут работать без валидных учетных данных пользователя домена любого уровня привилегий. Итак, как минимум, нам нужно будет получить пароль пользователя в открытом виде, хэш пароля NTLM или доступ уровня СИСТЕМА на хосте, подключенном к домену.
Для перечисления INLANEFREIGHT.LOCAL домен мы будем использовать следующие учетные данные: User=forend и password=Klmcargo2. Если кто забыл, мы получили эту учетку на предыдущем этапе. Начнем с тулы CrackMapExec.
CrackMapExec (CME) - это мощный набор инструментов для оценки среды. Для выполнения своих функций он использует пакеты инструментов Impacket и PowerSploit. Подробные объяснения по использованию инструмента и сопутствующих модулей можно глянуть в их в wiki. Не стесняйтесь использовать флаг-h, чтобы ознакомиться с доступными опциями и синтаксисом.
Перечисление учетных данных - из Linux
r00towl@htb[/htb]$ crackmapexec -h
usage: crackmapexec [-h] [-t THREADS] [--timeout TIMEOUT] [--jitter INTERVAL] [--darrell]
[--verbose]
{mssql,smb,ssh,winrm} ...
______ .______ ___ ______ __ ___ .___ ___. ___ .______ _______ ___ ___ _______ ______
/ || _ \\ / \\ / || |/ / | \\/ | / \\ | _ \\ | ____|\\ \\ / / | ____| / |
| ,----'| |_) | / ^ \\ | ,----'| ' / | \\ / | / ^ \\ | |_) | | |__ \\ V / | |__ | ,----'
| | | / / /_\\ \\ | | | < | |\\/| | / /_\\ \\ | ___/ | __| > < | __| | |
| `----.| |\\ \\----. / _____ \\ | `----.| . \\ | | | | / _____ \\ | | | |____ / . \\ | |____ | `----.
\\______|| _| `._____|/__/ \\__\\ \\______||__|\\__\\ |__| |__| /__/ \\__\\ | _| |_______|/__/ \\__\\ |_______| \\______|
A swiss army knife for pentesting networks
Forged by @byt3bl33d3r using the powah of dank memes
Version: 5.0.2dev
Codename: P3l1as
optional arguments:
-h, --help show this help message and exit
-t THREADS set how many concurrent threads to use (default: 100)
--timeout TIMEOUT max timeout in seconds of each thread (default: None)
--jitter INTERVAL sets a random delay between each connection (default: None)
--darrell give Darrell a hand
--verbose enable verbose output
protocols:
available protocols
{mssql,smb,ssh,winrm}
mssql own stuff using MSSQL
smb own stuff using SMB
ssh own stuff using SSH
winrm own stuff using WINRM
Ya feelin' a bit buggy all of a sudden?
Мы видим, что мы можем использовать инструмент с учетными данными MSSQL, SMB, SSH и WinRM. Давайте рассмотрим наши варианты для CME с протоколом SMB.:
Перечисление учетных данных - из Linux
r00towl@htb[/htb]$ crackmapexec smb -h
usage: crackmapexec smb [-h] [-id CRED_ID [CRED_ID ...]] [-u USERNAME [USERNAME ...]] [-p PASSWORD [PASSWORD ...]] [-k]
[--aesKey AESKEY [AESKEY ...]] [--kdcHost KDCHOST]
[--gfail-limit LIMIT | --ufail-limit LIMIT | --fail-limit LIMIT] [-M MODULE]
[-o MODULE_OPTION [MODULE_OPTION ...]] [-L] [--options] [--server {https,http}] [--server-host HOST]
[--server-port PORT] [-H HASH [HASH ...]] [--no-bruteforce] [-d DOMAIN | --local-auth] [--port {139,445}]
[--share SHARE] [--smb-server-port SMB_SERVER_PORT] [--gen-relay-list OUTPUT_FILE] [--continue-on-success]
[--sam | --lsa | --ntds [{drsuapi,vss}]] [--shares] [--sessions] [--disks] [--loggedon-users] [--users [USER]]
[--groups [GROUP]] [--local-groups [GROUP]] [--pass-pol] [--rid-brute [MAX_RID]] [--wmi QUERY]
[--wmi-namespace NAMESPACE] [--spider SHARE] [--spider-folder FOLDER] [--content] [--exclude-dirs DIR_LIST]
[--pattern PATTERN [PATTERN ...] | --regex REGEX [REGEX ...]] [--depth DEPTH] [--only-files]
[--put-file FILE FILE] [--get-file FILE FILE] [--exec-method {atexec,smbexec,wmiexec,mmcexec}] [--force-ps32]
[--no-output] [-x COMMAND | -X PS_COMMAND] [--obfs] [--amsi-bypass FILE] [--clear-obfscripts]
[target ...]
positional arguments:
target the target IP(s), range(s), CIDR(s), hostname(s), FQDN(s), file(s) containing a list of targets, NMap XML or
.Nessus file(s)
optional arguments:
-h, --help show this help message and exit
-id CRED_ID [CRED_ID ...]
database credential ID(s) to use for authentication
-u USERNAME [USERNAME ...]
username(s) or file(s) containing usernames
-p PASSWORD [PASSWORD ...]
password(s) or file(s) containing passwords
-k, --kerberos Use Kerberos authentication from ccache file (KRB5CCNAME)
<SNIP>
CME предлагает меню справки для каждого протокола (т.Е., crackmapexec winrm -h и т.д.). Обязательно просмотрите все меню справки и все возможные опции. На данный момент нас интересуют следующие флаги: