Как только мы закрепляемся в домене, наша цель смещается на дальнейшее продвижение нашей позиции путем перемещения вбок или вертикально, чтобы получить доступ к другим хостам, и в конечном итоге достичь компрометации домена или какой-либо другой цели, в зависимости от цели оценки. Для достижения этой цели есть несколько способов двигаться вбок. Обычно, если мы захватываем учетную запись с правами локального администратора на хосте или наборе хостов, мы можем выполнить Pass-the-Hash атаку для аутентификации по протоколу SMB.
Но что делать, если у нас еще нет прав локального администратора ни на одном хосте в домене?
Есть несколько других способов перемещения по домену Windows:
Remote Desktop Protocol (RDP) - это протокол удаленного доступа / управления, который предоставляет нам графический доступ к целевому хостуMSSQL Server - учетная запись с правами системного администратора на экземпляре SQL Server может удаленно входить в инстанс и выполнять запросы к базе данных. Этот доступ можно использовать для выполнения команд операционной системы в контексте учетной записи службы SQL Server различными способамиМы можем перечислять этот доступ различными способами. Самый простой, опять же, через BloodHound, поскольку существуют следующие ребра, показывающие нам, какие типы прав удаленного доступа есть у данного пользователя:
Мы также можем перечислить эти привилегии, используя такие инструменты, как PowerView и даже встроенные инструменты.
В этом разделе мы будем перемещаться между хостами атак для Windows и Linux, работая с различными примерами. Вы можете создать хосты для этого раздела в конце этого раздела и RDP для хоста атаки MS01 Windows. Для части этого раздела, требующей взаимодействия с хостом Linux (mssqlclient.py и evil-winrm), вы можете открыть консоль PowerShell в MS01 и использовать SSH для 172.16.5.225 использования учетных данных htb-student:HTB_@cademy_stdnt!. Мы рекомендуем вам попробовать все методы, показанные в этом разделе (т.е. Enter-PSSession и PowerUpSQL с хоста атаки Windows и evil-winrm и mssqlclient.py с хоста атаки Linux).
Обычно, если у нас есть контроль над локальным администратором на данной машине, мы сможем получить к ней доступ через RDP. Иногда мы получаем поддержку пользователя, у которого нигде нет прав локального администратора, но есть права на RDP на одной или нескольких машинах. Этот доступ мог бы быть чрезвычайно полезен для нас, поскольку мы могли бы использовать позицию хоста для: