{"id":202,"date":"2022-09-03T16:12:08","date_gmt":"2022-09-03T16:12:08","guid":{"rendered":"https:\/\/jsec-rt.com\/?p=202"},"modified":"2024-07-08T22:53:12","modified_gmt":"2024-07-09T02:53:12","slug":"rt-bt-enumeracion-sobre-active-directory-y-explotacion-de-acls-para-escalar-privilegios-parte-2","status":"publish","type":"post","link":"https:\/\/jsec-rt.com\/index.php\/2022\/09\/03\/rt-bt-enumeracion-sobre-active-directory-y-explotacion-de-acls-para-escalar-privilegios-parte-2\/","title":{"rendered":"RT\/BT \u2013 Enumeraci\u00f3n sobre Active Directory y Explotaci\u00f3n de ACLs para escalar privilegios \u2013 Parte 2"},"content":{"rendered":"\n

Hola!<\/p>\n\n\n\n

Tenia que publicar esta entrada hace bastante tiempo, pero por temas de vacaciones la retrase bastante, estuve ocupado, pero bueno, ac\u00e1 esta, como siempre intentando divulgar un poco el conocimiento que obtuve.<\/p>\n\n\n\n

Continuando con el tema de ACLs, ac\u00e1 veremos otros tipos de ataques que abusan permisos excesivos otorgados sobre ciertos objetos de dominio.<\/p>\n\n\n\n

Utilizaremos como siempre la instancia de AD desplegada en posts anteriores, agregando ciertas configuraciones inseguras para demostrar la explotaci\u00f3n.<\/p>\n\n\n\n

Agregue a un nuevo usuario al dominio interno, llamado max.power<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Adicionalmente, agregu\u00e9 un nuevo equipo al dominio interno, asegur\u00e1ndome de utilizar la cuenta max.power<\/strong> para esta acci\u00f3n.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ya que el usuario que agrego a este nuevo equipo al dominio es max.power<\/strong>, el mismo tiene ciertos privilegios de modificaci\u00f3n sobre el equipo (para modificar las propiedades de este, no necesariamente como administrador local).<\/p>\n\n\n\n

Utilizaremos a este equipo SOPORTE01 para las acciones respectivas.<\/p>\n\n\n\n

Sin embargo, ya que nosotros agregamos a este equipo al dominio a traves de la interfaz de Windows, no conocemos su contrase\u00f1a, por lo que posteriormente, asumiendo el compromiso del usuario max.power<\/strong>, agregaremos un nuevo equipo a trav\u00e9s de la linea de comandos, realizaremos un ataque RBCD (Resource Based Constrained Delegation) desde el nuevo equipo hacia SOPORTE01<\/strong> y luego desde el equipo SOPORTE01<\/strong> hacia TECNOLOGIA01<\/strong>.<\/p>\n\n\n\n

Adicionalmente, por temas de simplicidad, se agregaran permisos de control total de max.power<\/strong> sobre el equipo SOPORTE01<\/strong>.<\/p>\n\n\n\n

Configuraci\u00f3n para ataque de RBCD.<\/h2>\n\n\n\n

Otorgando permisos de control total desde el equipo SOPORTE01<\/strong> hacia TECNOLOGIA01<\/strong>.<\/p>\n\n\n\n

Accedemos a la ventana ADSI en nuestro controlador de dominio, buscando al grupo Computers<\/strong>, click derecho en el equipo TECNOLOGIA01<\/strong> y accedemos a properties<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Obtenemos la lista de objetos del dominio que tienen alg\u00fan privilegio definido de manera explicita sobre este equipo.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Le damos click a add<\/strong> y nos mostrara la pantalla que se vio en anteriores posts, pero aca necesitamos un paso adicional, darle click a Object Types<\/strong> en la primera opci\u00f3n.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

En la nueva ventana, seleccionamos Computers<\/strong> y le damos OK.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Por defecto, no se consideran a las computadoras del dominio para otorgar estos privilegios de control, pero al haber marcado la opci\u00f3n, podemos escribir SOPORTE01<\/strong> y darle click a Check Names<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Se identifico el objeto de dominio, le damos OK y otorgamos control total sobre TECNOLOGIA01<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Agregando los mismos tipos de permisos para el usuario max.power<\/strong> sobre SOPORTE01<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Configuraci\u00f3n para ataque de Targeted Kerberoasting.<\/h2>\n\n\n\n

En la configuraci\u00f3n de ADSI, buscamos al usuario jsec<\/strong> y le modificamos las propiedades, otorgando privilegios de escritura de propiedades del objeto para el usuario max.power<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Confirmando el nivel de permisos.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ejecuci\u00f3n de Sharphound desde un equipo fuera del dominio<\/h2>\n\n\n\n

Es posible ejecutar herramientas de enumeraci\u00f3n de dominio desde equipos que no est\u00e1n asociados al mismo utilizando funcionalidades propias de Windows, esto es bastante \u00fatil en Pentests internos donde se le otorga al consultor un solo punto de red para su equipo y las estaciones de trabajo internas cuentan con medidas de seguridad eficientes (Antivirus bien configurado, EDR, restricci\u00f3n de acceso a cmd, powershell y rundll, no se permite la ejecuci\u00f3n de binarios no firmados, AMSI, etc.).<\/p>\n\n\n\n

Se levanto un nuevo equipo Windows, que no se agregar\u00e1 al dominio.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Se realiza la descarga de Sharphound.<\/p>\n\n\n\n

Link: https:\/\/github.com\/BloodHoundAD\/SharpHound\/releases\/download\/v1.1.0\/SharpHound-v1.1.0.zip<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Descomprimiendo el archivo, se tiene el binario Sharphound.exe que se ejecutara, sin embargo, para poder ejecutarlo sin problemas necesitamos configurar los servidores DNS de nuestro equipo externo, apuntando al DC del dominio objetivo.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Confirmamos que podemos resolver el dominio jsec.local<\/strong> y el equipo ATENCION01<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Descomprimiendo el archivo e intentando ejecutarlo obtenemos un error.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

El mensaje de error confirma que si llegamos al DC objetivo, pero que no tenemos credenciales v\u00e1lidas.<\/p>\n\n\n\n

Tiene sentido, ya que el equipo no esta en dominio, la sesi\u00f3n activa y utilizada por la herramienta es la de un usuario local que no es v\u00e1lido en jsec.local<\/strong>.<\/p>\n\n\n\n

Si bien Sharphound tiene la opci\u00f3n de definir las credenciales a utilizar, yo prefiero levantar una nueva terminal que utilice el perfil de un usuario de dominio para la comunicaci\u00f3n por red, para no tener que estar definiendo credenciales de usuario en cada herramienta que se vaya a utilizar, para esto utilizo runas<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Comando: runas \/netonly \/user:jsec.local\\max.power cmd.exe<\/p>\n\n\n\n

En este caso, utilizo el binario runas<\/strong> para levantar un proceso como un usuario distinto, \/netonly<\/strong> indica que la comunicaci\u00f3n por red utilizara el perfil de usuario definido, \/user<\/strong> define el usuario a utilizar y al final se especifica que proceso se quiere levantar con estas credenciales.<\/p>\n\n\n\n

Cabe destacar que es necesario introducir la contrase\u00f1a del usuario despu\u00e9s de ejecutar el comando, sin embargo, este no valida si la credencial es valida o no, por lo que se recomienda tener mucho cuidado al momento de introducir la contrase\u00f1a.<\/p>\n\n\n\n

Se levanta la nueva consola cmd y la descripci\u00f3n (running as jsec.local\\max.power), indicando que estamos utilizando el perfil de este usuario y que las herramientas de enumeraci\u00f3n de dominio utilizaran estas credenciales por defecto.<\/p>\n\n\n\n

Si volvemos a ejecutar Sharphound desde esta nueva consola, observamos que se logra conectar al DC y obtener la informaci\u00f3n respectiva.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Copiamos el fichero generado a nuestro equipo Kali o donde se tenga instalado Bloodhound para analizarlo.<\/p>\n\n\n\n

Ya en la interfaz de Bloodhound, seleccionamos la query Find shortest paths to Domain Admins<\/strong>, obteniendo el siguiente resultado.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Algunos paths ya fueron explorados en posts anteriores, por lo que nos concentraremos en los dos remarcados.<\/p>\n\n\n\n

El primero indica que el usuario max.power<\/strong> tiene privilegios de escritura de propiedades sobre el usuario jsec<\/strong>, el cual pertenece al grupo de domain admins, confirmando que se puede realizar un ataque tipo Targeted Kerberoast.<\/p>\n\n\n\n

El segundo caso indica que el equipo SOPORTE01<\/strong> tiene control total sobre el equipo TECNOLOGIA01<\/strong>, miembro del grupo Domain Admins<\/strong>, dando lugar a un ataque tipo Resource Based Constrained Delegation.<\/p>\n\n\n\n

Ahora nuestros dos caminos son:<\/p>\n\n\n\n

  • Utilizar al usuario max.power para generar un ticket SPN del usuario jsec y crackearlo de manera offline.<\/li>
  • Obtener control del equipo SOPORTE01 y con su hash NTLM, realizar un ataque tipo RBCD para obtener control de TECNOLOGIA01 y el dominio respectivo.<\/li><\/ul>\n\n\n\n

    Para el segundo punto, analizamos al objeto SOPORTE01<\/strong>, especificamente sus Explicit Object Controllers.<\/strong><\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    El usuario max.power<\/strong> tiene privilegios totales sobre el equipo, dando lugar a otro ataque tipo RBCD.<\/p>\n\n\n\n

    EXPLOTACION – RBCD<\/h2>\n\n\n\n

    Procedemos con el vector de ataque a trav\u00e9s de RBCD, como max.power<\/strong> tiene control del equipo SOPORTE01<\/strong>, podemos modificar la propiedad msDS-AllowedToActOnBehalfOfOtherIdentity<\/strong>.<\/p>\n\n\n\n

    Seg\u00fan la definici\u00f3n de la documentaci\u00f3n de Microsoft.<\/p>\n\n\n\n

    “Este atributo se usa para las comprobaciones de acceso para determinar si un solicitante tiene permiso para actuar en nombre de otras identidades en servicios que se ejecutan como esta cuenta.”<\/p>\n\n\n\n

    Ref: https:\/\/docs.microsoft.com\/es-es\/windows\/win32\/adschema\/a-msds-allowedtoactonbehalfofotheridentity<\/p>\n\n\n\n

    Por temas de simplicidad, definiremos a esta propiedad como la capacidad de un host de dominio, de interactuar con este a nombre de otro host, esta interacci\u00f3n incluye la solicitud de tickets de acceso por Kerberos.<\/p>\n\n\n\n

    Entonces, yo puedo modificar la propiedad del equipo SOPORTE01, indicando que otro equipo tiene los privilegios de solicitar tickets de Kerberos a nombre de SOPORTE01.<\/p>\n\n\n\n

    Para este caso, crearemos un nuevo equipo en el dominio interno a trav\u00e9s de la linea de comandos, ya que por defecto, en una instalaci\u00f3n est\u00e1ndar de un Active Directory, cualquier usuario registrado puede agregar hasta 10 equipos al dominio interno (propiedad MS-DS-Machine-Account-Quota de los usuarios).<\/p>\n\n\n\n

    Explotaci\u00f3n desde Kali<\/h2>\n\n\n\n

    Utilizando impacket, el usuario max.power<\/strong> crea un nuevo equipo llamado jsecrbcd<\/strong>.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Ahora, ya que max.power<\/strong> tiene privilegios de escritura sobre las propiedades de SOPORTE01<\/strong>, modificamos su contenido indicando que el equipo jsecrbcd<\/strong> puede personificar al equipo SOPORTE01<\/strong>.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    La acci\u00f3n se ejecuto de manera correcta, indicando que la cuenta jsecrbcd$<\/strong> puede personificar usuarios en el equipo SOPORTE01<\/strong>.<\/p>\n\n\n\n

    Utilizamos estos privilegios para solicitar un ticket de acceso por Kerberos hacia SOPORTE01<\/strong>, personificando al usuario de dominio Administrator<\/strong>.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Es necesario utilizar la cuenta del equipo que se creo y que tiene privilegios de actuar a nombre de SOPORTE01<\/strong> para esta acci\u00f3n, por eso es importante conocer la contrase\u00f1a.<\/p>\n\n\n\n

    Exportando el ticket como variable de entorno con el comando export KRB5CCNAME=Administrator.ccache<\/strong>, validamos que el mismo sea reconocido.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    De esta manera, tenemos una sesi\u00f3n v\u00e1lida con los privilegios de un Domain Admin \u00fanicamente sobre el equipo SOPORTE01<\/strong>.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Comando: impacket-secretsdump.py -k (autenticaci\u00f3n por kerberos) -no-pass (no solicitar password de la cuenta, \u00fatil y necesario para interacci\u00f3n con Kerberos) DOMINIO\/USUARIO(en este caso, usuario al que se personifico con el ticket de kerberos solicitado)@EQUIPO(FQDN).<\/p>\n\n\n\n

    El primer paso esta realizado, ya controlamos al equipo SOPORTE01<\/strong> y seg\u00fan lo observado en Bloodhound, podemos utilizarlo para replicar este ataque hacia el equipo TECNOLOGIA01<\/strong>, para esto necesitamos la contrase\u00f1a o el hash NTLM de este equipo, el cual esta remarcado (por funcionalidad, la contrase\u00f1a de este equipo cambia cada 30 d\u00edas).<\/p>\n\n\n\n

    Cabe destacar que un equipo unido al dominio tiene su propio usuario, identificado como el hostname y el simbolo $<\/strong> al final del mismo, en este caso, para el equipo de dominio SOPORTE01<\/strong>, su usuario es SOPORTE01$<\/strong>, esto lo podemos validar de manera directa con el DC.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Este usuario de equipo tiene privilegios m\u00ednimos, pero en instalaciones por defecto, tiene la posibilidad de agregar hasta 10 equipos al dominio interno, as\u00ed que replicamos los pasos anteriores.<\/p>\n\n\n\n

    Agregamos un equipo al dominio llamado jsecrbcd2<\/strong>, esta ves utilizando al usuario SOPORTE01$<\/strong>.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Ejecutamos el ataque de cambio de propiedades sobre el equipo TECNOLOGIA01<\/strong> con el usuario SOPORTE01$<\/strong>, ya que seg\u00fan Bloodhound, este usuario tiene privilegios de escritura sobre el objetivo.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Los permisos de delegaci\u00f3n se agregaron correctamente, por lo que el equipo recien creado puede actuar a nombre de TECNOLOGIA01<\/strong>.<\/p>\n\n\n\n

    Obteniendo el ticket de Kerberos como un usuario Administrador de dominio utilizando la cuenta de equipo creada y que puede actuar a nombre de TECNOLOGIA01<\/strong>.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Extracci\u00f3n de hashes del equipo TECNOLOGIA01<\/strong> utilizando el ticket de Kerberos.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    De esta manera, obtenemos control administrativo del equipo y, m\u00e1s importante, su hash NTLM, ya que podemos utilizarlo para comprometer el dominio interno.<\/p>\n\n\n\n

    Realizando un DCSYNC utilizando al usuario TECNOLOGIA01$<\/strong> y su hash.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Se obtiene control total del dominio, abusando los privilegios excesivos entre objetos del dominio.<\/p>\n\n\n\n

    Como recomendaciones principales:<\/p>\n\n\n\n