- Powerview – https:\/\/github.com\/PowerShellMafia\/PowerSploit\/blob\/dev\/Recon\/PowerView.ps1 (Ya no se desarrolla de manera activa, pero aun es bastante \u00fatil para obtener informaci\u00f3n de un AD).<\/li>
- RSAT Active Directory DLL – https:\/\/github.com\/samratashok\/ADModule.git (DLL oficial de Microsoft para gestion de Active Directory desde Powershell, se puede importar la DLL directamente sin necesidad de instalar RSAT o tener privilegios administrativos)<\/li>
- SharpHound – https:\/\/github.com\/BloodHoundAD\/BloodHound\/tree\/master\/Collectors (Herramienta para realizar consultas a un controlador de dominio, obteniendo informaci\u00f3n sobre usuarios, equipos, grupos, ACLs, acceso administrativo de ciertos usuarios, entre otros. Esta informaci\u00f3n se almacena en ficheros .json que pueden ser importados a BloodHound, obteniendo gr\u00e1ficos sobre la informaci\u00f3n obtenida y posibles vectores de ataque)<\/li><\/ul>\n\n\n\n
Linux:<\/strong><\/p>\n\n\n\n
- Ldapdomaindump – https:\/\/github.com\/dirkjanm\/ldapdomaindump.git (Herramienta para consultar informaci\u00f3n del dominio respectivo, extrayendo usuarios, equipos, grupos, pol\u00edtica de contrase\u00f1as y relaciones de confianza en formato facil de procesar, json y HTML para visualizar los datos desde un navegador, se mostro un peque\u00f1o detalle de la herramienta en posts anteriores)<\/li>
- bloodhound-python – https:\/\/github.com\/fox-it\/BloodHound.py.git (Versi\u00f3n en Python del ingestor SharpHound, no cuenta con todas las funcionalidades de SharpHound, pero sirve para darle un vistazo r\u00e1pido a un forest especifico)<\/li><\/ul>\n\n\n\n
En ambos casos, es necesario contar con Bloodhound correctamente instalado, incluyendo la base de datos Neo4j.<\/p>\n\n\n\n
INSTALACI\u00d3N DE NEO4J\/BLOODHOUND<\/h2>\n\n\n\n
Instalaci\u00f3n sobre Windows:<\/p>\n\n\n\n
https:\/\/bloodhound.readthedocs.io\/en\/latest\/installation\/windows.html<\/a><\/p>\n\n\n\n
Instalaci\u00f3n sobre Linux:
https:\/\/bloodhound.readthedocs.io\/en\/latest\/installation\/linux.html<\/a><\/p>\n\n\n\nLas instrucciones de instalaci\u00f3n son directas, pero en resumen se realizan los siguientes pasos:<\/p>\n\n\n\n
Windows:<\/strong><\/p>\n\n\n\n
- Instalar Oracle JDK para Java: https:\/\/www.oracle.com\/java\/technologies\/javase-jdk11-downloads.html (Las opciones por defecto deber\u00edan funcionar bien)<\/li>
- Descargar Neo4j Community Edition: https:\/\/neo4j.com\/download-center\/#community
- Una ves descargado el fichero, lo descomprimimos en una ruta de nuestra elecci\u00f3n.<\/li>
- Levantamos una terminal de comandos como administrador y navegamos a la ruta donde descomprimimos el fichero, espec\u00edficamente al directorio “bin” (C:\\neo4j….\\bin)<\/li>
- Ejecutamos el comando “neo4j.bat install-service”.<\/li>
- Iniciamos el servicio ejecutando “net start neo4j”<\/li><\/ul><\/li>
- Una ves instalada la base de datos, podemos utilizar un navegador web para acceder a la ruta http:\/\/localhost:7474, donde nos autenticaremos a la base de datos con las credenciales neo4j:neo4j<\/strong>, cambiando esta contrase\u00f1a al acceder exitosamente.<\/li>
- Descargar la GUI de Bloodhound: https:\/\/github.com\/BloodHoundAD\/BloodHound\/releases<\/li>
- Descomprimir el fichero y ejecutar Bloodhound.exe, autentic\u00e1ndose con las credenciales de Neo4j definidas anteriormente.<\/li><\/ul>\n\n\n\n
Linux:<\/strong><\/p>\n\n\n\n
- Actualizar los repositorios: echo “deb http:\/\/httpredir.debian.org\/debian stretch-backports main” | sudo tee -a \/etc\/apt\/sources.list.d\/stretch-backports.list<\/strong><\/li>
- Ejecutar apt-get update<\/strong>, de esta manera, los instaladores de neo4j obtendr\u00e1n autom\u00e1ticamente la mejor versi\u00f3n de java para ejecutarse.<\/li>
- Agregar el repositorio de Neo4j a los sources del equipo linux.
- wget -O – https:\/\/debian.neo4j.com\/neotechnology.gpg.key | sudo apt-key add –<\/li>
- echo ‘deb https:\/\/debian.neo4j.com stable 4.0’ > \/etc\/apt\/sources.list.d\/neo4j.list<\/li>
- sudo apt-get update<\/li><\/ul><\/li>
- Instalar apt-transport-https en caso de no tenerlo: sudo apt-get install apt-transport-https<\/strong><\/li>
- Instalar Neo4j: sudo apt-get install neo4j<\/strong><\/li>
- Se puede ejecutar neo4j desde la ruta \/usr\/bin\/ con el siguiente comando: sudo \/usr\/bin\/neo4j console | start<\/strong>
- Console para observar los logs de la base de datos en la terminal, para propositos de debugging.<\/li>
- Start para iniciar la base de datos en segundo plano.<\/li><\/ul><\/li>
- Navegar a la ruta http:\/\/localhost:8834, autenticarse con las credenciales neo4j:neo4j<\/strong> y actualizar la credencial de acceso.<\/li>
- Descargar la GUI de Bloodhound: https:\/\/github.com\/BloodHoundAD\/BloodHound\/releases<\/li>
- Descomprimir el fichero y ejecutar Bloodhound: sudo .\/BloodHound –no-sandbox<\/strong><\/li>
- Autenticarse con las credenciales definidas anteriormente.<\/li><\/ul>\n\n\n\n
De esta manera instalamos Bloodhound en nuestros equipos para poder visualizar la informaci\u00f3n recolectada por los Ingestors.<\/p>\n\n\n\n
CONFIGURACI\u00d3N DEL AD PARA EXPLORAR VECTORES DE ATAQUE EN BLOODHOUND<\/h2>\n\n\n\n
Para el laboratorio, agregaremos algunas configuraciones inseguras sobre nuestro Active Directory para tener varios vectores de ataque.<\/p>\n\n\n\n
Accedemos al men\u00fa ADSI Edit <\/strong>en nuestro DC.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-1024x542.png\")
<\/figure>\n\n\n\nEn la nueva ventana, hacemos click en Actions > Connect To<\/strong><\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-1.png\")
<\/figure>\n\n\n\nPodemos dejar los valores por defecto para este escenario.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-2.png\")
<\/figure>\n\n\n\nUna ves realizada la conexi\u00f3n, expandimos las carpetas hasta identificar el nivel CN=Users<\/strong> donde observaremos los grupos y usuarios existentes en nuestro AD.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-3.png\")
<\/figure>\n\n\n\nDesde esta ventana podemos modificar las ACLs de cualquier objeto del dominio, en este escenario, otorgaremos privilegios indirectos del usuario hank.scorpio<\/strong> al usuario admin<\/strong>.<\/p>\n\n\n\n
Le damos click derecho al objeto admin<\/strong> y luego en Properties<\/strong><\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-4.png\")
<\/figure>\n\n\n\nLuego, accedemos a la pesta\u00f1a Security<\/strong> y le damos click en Add<\/strong>.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-5.png\")
<\/figure>\n\n\n\nEn la nueva ventana, escribimos el nombre de usuario y le damos click a Check Names<\/strong> para que automaticamente se identifique el objeto de dominio respectivo.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-6.png\")
<\/figure>\n\n\n\nLe damos OK<\/strong> y luego definimos que permisos queremos que el usuario hank.scorpio<\/strong> tenga sobre el usuario admin<\/strong><\/p>\n\n\n\n
Para este escenario, le daremos privilegios de cambio y reseteo de contrase\u00f1a al usuario.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-7.png\")
<\/figure>\n\n\n\nHacemos click en Apply<\/strong> y luego OK<\/strong> para aplicar los cambios.<\/p>\n\n\n\n
Adicionalmente, otorgaremos otro privilegio al usuario Service_BD<\/strong> sobre el grupo Administrators<\/strong>.<\/p>\n\n\n\n
Para identificar a este grupo, navegamos a la pesta\u00f1a CN=Builtin <\/strong>en el panel izquierdo.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-8.png\")
<\/figure>\n\n\n\nReplicamos los pasos anteriores, agregando al usuario Service_BD.<\/strong><\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-9.png\")
<\/figure>\n\n\n\nLe daremos permisos Write<\/strong> (de escritura) sobre el grupo Administrators<\/strong>.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-10-1024x638.png\")
<\/figure>\n\n\n\nPosteriormente, actualizaremos el esquema para que los cambios ejecutados se guarden.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-15.png\")
<\/figure>\n\n\n\nCon estas configuraciones, procederemos a realizar la extracci\u00f3n de informaci\u00f3n con SharpHound\/bloodhound-python.<\/p>\n\n\n\n
EJECUCI\u00d3N DE SHARPHOUND<\/h2>\n\n\n\n
Sharphound viene en formato exe y PS1, en este caso, utilizaremos el binario que descargamos anteriormente, cabe destacar que se debe utilizar un equipo Windows para ejecutarlo de manera correcta.<\/p>\n\n\n\n
*NOTA: Cabe destacar que no es necesario tener Bloodhound instalado para correr el Ingestor, es un binario independiente.<\/p>\n\n\n\n
Utilizaremos el equipo TECNOLOGIA01<\/strong> para ejecutar el Ingestor, aprovechando que el mismo ya se encuentra en dominio y es Windows 10.<\/p>\n\n\n\n
Se debe deshabilitar el antivirus para ejecutar el binario.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-17-1024x661.png\")
<\/figure>\n\n\n\nYa que el equipo se encuentra en dominio y el usuario esta autenticado, no necesitamos especificar usuario a menos que se quiera utilizar un usuario distinto para realizar las consultas, mas adelante veremos como ejecutar el binario con el contexto de un usuario de dominio desde un equipo fuera de dominio.<\/p>\n\n\n\n
Ejecutamos Sharphound con la flag -c all<\/strong> para que obtenga la mayor cantidad de informacion posible.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-18-1024x631.png\")
<\/figure>\n\n\n\nUna ves termina la extracci\u00f3n de informaci\u00f3n, obtenemos un fichero compreso que debemos importar a nuestra base de datos Neo4j.<\/p>\n\n\n\n
La extracci\u00f3n de informaci\u00f3n desde Linux utilizando bloodhound-python es bastante similar, la unica diferencia notable es que se tendria que especificar el controlador de dominio, el dominio, usuario y su password respectivo, o establecer al controlador de dominio como un servidor DNS en el equipo Linux y establecer el dominio, usuario y password.<\/p>\n\n\n\n
Estableciendo el servidor DNS de manera manual.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-25.png\")
<\/figure>\n\n\n\nEjecutamos bloodhound-python especificando los par\u00e1metros mencionados anteriormente.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-26.png\")
<\/figure>\n\n\n\nObtenemos 4 ficheros en formato json.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-27.png\")
<\/figure>\n\n\n\nEstos ficheros est\u00e1n listos para ser importados a bloodhound.<\/p>\n\n\n\n
Enviamos los ficheros hacia el equipo con Bloodhound y lo arrastramos directamente a la interfaz grafica, en este caso, yo usare una maquina virtual para levantar el software necesario.<\/p>\n\n\n\n
Arrastrando el fichero compreso directo a la interfaz grafica, obtenemos la data.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-19-1024x626.png\")
<\/figure>\n\n\n\nExisten m\u00faltiples consultas predefinidas en Bloodhound, las cuales exploraremos ahora.<\/p>\n\n\n\n
Find all Domain Admins<\/strong>.<\/p>\n\n\n\n
Identificara todos los miembros del grupo Domain Admins<\/strong> que para atacantes son el objetivo principal y para los defensores, los usuarios que tienen que proteger.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-20-1024x672.png\")
<\/figure>\n\n\n\nAh\u00ed observamos los miembros existentes del grupo, incluyendo una computadora, indicando que para obtener privilegios de administraci\u00f3n de dominio, solo necesitamos comprometer el equipo TECNOLOGIA01<\/strong>, obtener el hash NTLM del equipo y podremos acceder a los DCs con privilegios administrativos, obviamente es una configuraci\u00f3n deficiente, por lo que un Blue Team puede tomar acciones sobre este punto.<\/p>\n\n\n\n
Ya conocemos a todos los administradores de dominio, pero ac\u00e1 nos preguntamos, \u00bfQu\u00e9 otros vectores de ataque podemos identificar desde esta herramienta?<\/p>\n\n\n\n
Anteriormente hicimos configuraciones inseguras sobre ACLs de usuarios y grupos, las cuales podemos observar en Bloodhound.<\/p>\n\n\n\n
Si ejecutamos una de las consultas pre-cargadas Find Shortest Paths to Domain Admins<\/strong> observamos la siguiente imagen:<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-22.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-21-1024x455.png\")
<\/figure>\n\n\n\nEs un poco complicado entender toda la informaci\u00f3n que se nos presenta, pero analizando punto a punto vemos que usuarios o equipos un atacante tendr\u00eda que comprometer para obtener privilegios de administrador de dominio.<\/p>\n\n\n\n
Observamos que los usuarios PWNED, ADMIN, JSEC, ADMINISTRATOR <\/strong>y el equipo TECNOLOGIA01<\/strong> pertenecen al grupo de domain admins, por lo que comprometer uno de esos usuarios es el camino directo, sin embargo en la parte superior observamos un caso un poco distinto.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-23.png\")
<\/figure>\n\n\n\nObservamos que el usuario SERVICE_BD<\/strong> tiene un enlace con GenericWrite<\/strong> marcado apuntando al grupo ADMINISTRATORS<\/strong>.<\/p>\n\n\n\n
Este enlace indica que el usuario SERVICE_BD<\/strong> puede cambiar las propiedades del grupo ADMINISTRATORS<\/strong>.<\/p>\n\n\n\n
Simplificando un poco algunos conceptos de Active Directory, podemos considerar a usuarios, grupos, equipos, pol\u00edticas de grupo, unidades organizacionales, etc. como OBJETOS, cada uno con propiedades especificas y distintas seg\u00fan el tipo de objeto (un objeto usuario no tiene las mismas propiedades que un objeto grupo), este enlace que observamos nos indica que el usuario respectivo puede modificar estas propiedades especificas de grupos, en este caso, indicando que este usuario, si bien no pertenece al grupo ADMINISTRATORS<\/strong>, tiene los privilegios suficientes para agregar a cualquier otro usuario de dominio al grupo respectivo.<\/p>\n\n\n\n
Si bien el grafico identifica este vector indirecto para comprometer el Active Directory, siempre recomiendo revisar cada uno de los usuarios privilegiados, espec\u00edficamente si se encuentran autenticados en alg\u00fan equipo especifico y los objetos del dominio que lo pueden modificar (Explicit Object Controllers)<\/p>\n\n\n\n
Revisando Bloodhound nuevamente, seleccionamos al usuario admin<\/strong> y analizamos sus Explicit Object Controllers.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-24-1024x683.png\")
<\/figure>\n\n\n\nObservamos un privilegio especial para el usuario hank.scorpio<\/strong>, el puede forzar el cambio de contrase\u00f1a del usuario admin<\/strong>.<\/p>\n\n\n\n
Esto quiere decir que si comprometemos al usuario hank.scorpio<\/strong>, podemos utilizarlo para definir una nueva contrase\u00f1a para el usuario admin<\/strong>, que pertenece al grupo de administradores de dominio.<\/p>\n\n\n\n
De esta manera identificamos un nuevo vector de ataque que no fue marcado por la herramienta, por eso se recomienda revisar cada uno de los objetos privilegiados para identificar estos posibles caminos.<\/p>\n\n\n\n
Ya que vimos m\u00e9todos distintos para escalar privilegios, procederemos a explotarlos.<\/p>\n\n\n\n
EXPLOTACION DE ACLS<\/h2>\n\n\n\n
Podemos utilizar Powerview para explotar este tipo de privilegios, sin embargo, la herramienta es detectada por un antivirus, si bien en nuestro caso deshabilitamos el mismo para la ejecuci\u00f3n de Bloodhound, puede que en escenarios reales, donde uno ya se encuentre en oficinas de cliente o por VPN conectado a un equipo de dominio, no podamos bajar el antivirus, justo por esta situaci\u00f3n prefiero utilizar una DLL oficial de gesti\u00f3n de Active Directory, presentada al inicio del post, esta DLL nos permitir\u00e1 explotar estas ACLs sin restricciones, ya que esta firmada por Microsoft y es una herramienta legitima de gesti\u00f3n.<\/p>\n\n\n\n
Descargamos la DLL en el equipo TECNOLOGIA01<\/strong> y la importamos a trav\u00e9s de Powershell.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-29-1024x458.png\")
<\/figure>\n\n\n\nPuede que obtengamos un error al importarla, reintentando la acci\u00f3n ser\u00e1 suficiente para continuar.<\/p>\n\n\n\n
Ya con las herramientas necesarias explotamos el primer escenario.<\/p>\n\n\n\n
Service_BD con privilegios de escritura sobre el grupo Administrators.<\/h2>\n\n\n\n
Para este escenario, crearemos un nuevo usuario de dominio sin ning\u00fan privilegio adicional, con una contrase\u00f1a cualquiera (Julio2022 en mi caso, patrones d\u00e9biles y predecibles de contrase\u00f1as, no utilizarlas en ambientes productivos)<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-30.png\")
Fanatico de los Simpson por si no se dieron cuenta<\/figcaption><\/figure>\n\n\n\n Consultamos la informaci\u00f3n de este usuario antes de realizar cambios.<\/p>\n\n\n\n
Podemos utilizar el mismo modulo que importamos, para obtener una lista de comandos, utilizamos Powershell<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-31.png\")
<\/figure>\n\n\n\nComando: Get-Command -Module AD (En mi caso es AD ya que asi se llama la DLL que importe)<\/p>\n\n\n\n
Obtenemos informaci\u00f3n del grupo al que vamos a atacar.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-34.png\")
<\/figure>\n\n\n\nObservamos que existen 6 miembros de este grupo, legendario.esquilax<\/strong> y Service_BD <\/strong>no son parte del mismo.<\/p>\n\n\n\n
Para mantener las cosas simples, utilizaremos la pass del usuario Service_BD<\/strong> que obtuvimos en posts anteriores.<\/p>\n\n\n\n
Definimos un objeto credencial para ejecutar los comandos como el usuario Service_BD<\/strong>, recordemos que la sesi\u00f3n que tenemos iniciada en el equipo de dominio es con el usuario cosme.fulanito<\/strong>, si ejecutamos los comandos de manera directa, los ejecutaremos como si fu\u00e9ramos el usuario cosme.fulanito <\/strong>y no Service_BD<\/strong>, que es el que necesitamos.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-35.png\")
<\/figure>\n\n\n\nEn resumen, lo que se realiza es:<\/p>\n\n\n\n
En el objeto $pass <\/strong>almacenar la contrase\u00f1a “P4ssw0rd123” de manera segura, perteneciente al usuario Service_BD<\/strong>.<\/p>\n\n\n\n
En el objeto $cred<\/strong> crear una credencial de usuario v\u00e1lida, especificando que ser\u00e1 para el usuario Service_BD<\/strong> con la contrase\u00f1a almacenada en el objeto $pass<\/strong>.<\/p>\n\n\n\n
Con este objeto nosotros podremos ejecutar ciertos comandos sobre el dominio personificando al usuario respectivo.<\/p>\n\n\n\n
El modulo que necesitamos para explotar el privilegio de escritura sobre un grupo es Add-ADGroupMember<\/strong>, para a\u00f1adir a un usuario al grupo, como su nombre lo indica.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-36.png\")
<\/figure>\n\n\n\nSi ejecutamos el comando directamente, podremos definir paso a paso los par\u00e1metros respectivos, tambi\u00e9n se puede definir todo en una sola linea, como se observa en la siguiente captura.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-37.png\")
<\/figure>\n\n\n\nEn la primera linea, ejecutamos el comando para agregar al usuario legendario.esquilax<\/strong> al grupo Administrators<\/strong> utilizando la credencial perteneciente al usuario Service_BD<\/strong>, luego volvemos a enumerar los miembros del grupo Administrators<\/strong> y observamos que el nuevo usuario es parte del mismo.<\/p>\n\n\n\n
Podemos validar los privilegios del usuario intentando hacer un DCSync desde el equipo Kali.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-38.png\")
<\/figure>\n\n\n\nExplotamos el vector de ataque de ACLs mal configuradas con \u00e9xito.<\/p>\n\n\n\n
HANK.SCORPIO CON PRIVILEGIOS DE RESETEO DE CONTRASE\u00d1A SOBRE EL USUARIO ADMIN<\/h2>\n\n\n\n
El segundo vector por ACLs es a traves de hank.scorpio<\/strong>, ya que el mismo puede cambiar la contrase\u00f1a del usuario admin<\/strong> de manera directa.<\/p>\n\n\n\n
Continuaremos utilizando la DLL de Active Directory para este ejercicio.<\/p>\n\n\n\n
Creamos nuevamente el objeto $pass<\/strong> y $cred<\/strong> para personificar al usuario hank.scorpio<\/strong><\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-39.png\")
La credencial expiro, por lo que la actualice a ese valor.<\/figcaption><\/figure>\n\n\n\n Probamos la credencial “Test1234!!” sobre el usuario admin<\/strong>, la cual sera la nueva pass.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-41-1024x208.png\")
<\/figure>\n\n\n\nObtenemos un error, ya que no es la contrase\u00f1a respectiva.<\/p>\n\n\n\n
Para cambiar la contrase\u00f1a del usuario admin<\/strong> utilizaremos el comando Set-ADAccountPassword<\/strong>.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-40.png\")
<\/figure>\n\n\n\nEn la primera linea definimos la nueva contrase\u00f1a en un objeto SecureString.<\/p>\n\n\n\n
En la segunda realizamos el cambio, apuntando a la cuenta admin<\/strong>, utilizando la credencial del usuario hank.scorpio<\/strong> almacenada en el objeto $cred<\/strong> y definiendo la nueva contrase\u00f1a del usuario almacenada en el objeto $newpass<\/strong>.<\/p>\n\n\n\n
Volvemos a validar la credencial desde la maquina Kali, obteniendo esta ves control sobre el dominio.<\/p>\n\n\n\n
![\"\"](\"https:\/\/jsec-rt.com\/wp-content\/uploads\/2022\/07\/image-42-1024x74.png\")
<\/figure>\n\n\n\nEsta es una peque\u00f1a muestra de ACLs mal configuradas y como pueden ser explotadas sobre un dominio de Windows, en entradas posteriores exploraremos un poco m\u00e1s sobre otro tipo de ACLs que dan lugar a ataques como Resource Based Constrained Delegation y creaci\u00f3n de SPNs para ataques de Kerberoasting.<\/p>\n\n\n\n
As\u00ed mismo, se realizar\u00e1 la explotaci\u00f3n desde un host Windows fuera de dominio, a trav\u00e9s de objetos de Powershell y creaci\u00f3n de procesos con usuarios distintos utilizando runas<\/strong>.<\/p>\n\n\n\n
Para personas que pertenecen al Blue Team, se recomienda analizar a detalle la informaci\u00f3n de Bloodhound para identificar este tipo de configuraciones que podr\u00edan existir en su AD, ya que estos vectores son m\u00e1s complicados, pero tambi\u00e9n m\u00e1s sigilosos.<\/p>\n","protected":false},"excerpt":{"rendered":"
En esta entrada utilizaremos distintas herramientas para analizar un entorno de Active Directory, tanto desde Linux como desde Windows. Este post sirve tanto a Pentesters como a miembros de Blue Team, ya que se identifican posibles vectores de ataque y configuraciones inseguras sobre un dominio. Tanto para explotar por el Continue Reading<\/i><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4,3],"tags":[],"class_list":["post-146","post","type-post","status-publish","format-standard","hentry","category-bt","category-p-rt"],"_links":{"self":[{"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/posts\/146","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/comments?post=146"}],"version-history":[{"count":10,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/posts\/146\/revisions"}],"predecessor-version":[{"id":199,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/posts\/146\/revisions\/199"}],"wp:attachment":[{"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/media?parent=146"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/categories?post=146"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jsec-rt.com\/index.php\/wp-json\/wp\/v2\/tags?post=146"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- Instalar Neo4j: sudo apt-get install neo4j<\/strong><\/li>
- Ejecutar apt-get update<\/strong>, de esta manera, los instaladores de neo4j obtendr\u00e1n autom\u00e1ticamente la mejor versi\u00f3n de java para ejecutarse.<\/li>