從外部Active Directory獲取域管理員

我對信息安全的興趣也從 web 開始。從最初的兼職到如今的全職，活動目錄（Active Directory）測試已成為我最喜歡的滲透測試類型。

這篇文章是關於我在今年早些時候為客戶做內網測試的情景。這個客戶的網路情況非常的複雜，而且之前我已做過測試，因此我有點擔心我無法完成這個測試任務。而在此之前我們僅僅只是管理它。

我在內網跑的第一個工具是Responder。該工具將會為我獲取本地子網上的LLMNR或NetBIOS請求中的Windows散列。但不幸的是管理員竟然禁用了LLMNR和NetBIOS請求。儘管從之前的測試中已經預料到了這種情況，但在OSCP課程中我學到一個道理 - 就是如果門是敞開的，破窗而入就沒有任何意義。

運行Responder後，我捕獲到了以下哈希值這是我非常震驚：

以上顯示的信息均已做過特殊處理，保護客戶的隱私是安全測試人員的職責。

在這裡，我們可以看到主機172.16.157.133向我們發送了帳戶FRONTDESK的NETNTLMv2哈希值。

使用Crack Map Exec檢查此主機的NetBIOS信息（也可用其它工具），我們可以檢查這是否是本地帳戶哈希。 如果是的話，則「domain」部分就是用戶名了：

即2-FD-87622應與主機的NetBIOS名稱匹配（這種情況下）。使用CME查找IP，我們可以看到主機匹配的名稱：

接下來我們來嘗試破解這個散列以獲取明文密碼。在Hashcat的幫助下，密碼很快就被破解了出來。

現在我們已經獲取到了front desk機器的憑據了。我們再次使用CME掃描，但不同的是這次我們傳遞了已破解的憑據：

我們可以看到Pwn3d！從結果可以得知這是一個本地的管理員帳戶。這意味著我們現在擁有了dump本地密碼散列的許可權：

注意看

這一次，我們看到的是密碼的NTLM哈希值，而不是Responder之前捕獲的NETNTLMv2「challenge/response」哈希值。Responder捕獲的散列，與Windows在SAM中存儲的格式並不同。

下一步我們開始來使用這個本地管理員哈希。這裡需要特別說明的是，我們並不需要特意去破解這個哈希，可以直接通過哈希傳遞的方式來利用它：

我們只能使用存儲的NTLM格式傳遞哈希值，而不是NETNTLMv2網路格式（除非你想執行「SMB中繼」攻擊）。

令我們驚訝的是，STEWIE機器使用的密碼與本地管理員密碼相同。 查詢此主機的NetBIOS信息：

我們可以看到它是MACFARLANE域的成員，並且是客戶端Active Directory的主要域。

也就是說，一台域外機器的本地管理員密碼在內部伺服器被重用。現在，我們可以通過Metasploit PsExec模塊，將NTLM哈希作為密碼傳遞給目標機器登錄並控制機器：

成功執行後我們得到了一個shell：

我們可以載入Mimikatz模塊，讀取Windows內存查找密碼：

現在我們獲取到了DA（域管理員）帳戶的詳細信息。最後，我們使用CME在域控制器上執行命令，將自己添加為一個DA（純粹是為測試，在實際滲透中為了更加隱蔽，我們可以使用已發現的帳戶）。

請注意，以上命令中的/y參數的作用是讓Windows允許我們添加的密碼長度大於14個字元。

進入到域控制器遠程桌面的截圖，可以作為成功利用的證據寫進報告：

針對這次測試中的問題，我的建議是禁用LLMNR（在策略中），這樣攻擊者就不會獲取初始的訪問許可權，直至對整個域的滲透。當然除了禁用LLMNR外還有其它的防護措施，例如使用LAPS管理本地管理員密碼，並設置FilterAdministratorToken防止本地RID 500帳戶進行SMB登錄。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！