Ковыряем AD(active directory), ломаем openVPN

Про AD неплохо написано тут, но, грубо говоря, это админка администратора сети, через которую он может эффективно управлять всеми сетевыми ресурсами.

Допустим, что с помощью шодана мы нашли пк, к которому можно подключиться через 3389 порт (RDP, дедик), и создали нового администратора (у вас есть всё для создания скрытой учетки):

Теперь можем на него зайти и обследовать ПК + все файлы другого администратора - user.

Убив немного времени на поиски, находим интересный путь. Копируем все оттуда для дальнейшего анализа.

Такие текстовые файлы находятся почти в каждой папке. Похоже на хэши паролей.

Также анализируем сетевые настройки и находим адрес доменного сервера 172.16.0.10, предположительно это и есть нужный нам AD. Осталось только попасть в сеть 172.16.0.0, чтобы подключиться.

Для этого вернемся к шлюзу и поизучаем его более детально. Введем команду ps aux, получим список процессов:

Запущен процесс openvpn, это уже интереснее. Изучение crontab ни к чему интересному не привело, но не беда. Рассмотрим конфиг openvpn

cat /etc/openvpn/server.conf

Супер! Нашли логин Office-2 и сертификат для подключения. Надо составить правильный конфиг и подобрать пароль, что мы и сделаем.

В итоге у нас получится 3 файлика:

Перейдем к перебору паролей:

После нахождения пароля можем подключиться и попасть в нужную нам сеть для дальнейших действий. Создаем нужные файлы для подключения.

И подключаемся. Теперь нам доступна сеть 172.16.0.10 Ура.

Сканируем хост и убеждаемся, что это AD, а также видим домен test.lab:

В Metasploit есть модуль kerberos, воспользуемся им и проверим наличие пользователя arm554 в домене:

Отлично. После этого выполняем pass-the-hash через SMBv3:

pth-smbclient --user=arm554 --pw-nt-hash -m smb3 -L 172.16.0.10 \\\\172.16.0.10\\ 6361dea164ee8fe91fe7b117fbc9ca5e

Получили список расшареных ресурсов. Посмотрим, что внутри files:

Вот так получили доступ к файлам на сервере.