Skip to content

Absolute

Absolute

Absolute 是一台 Insane Windows Active Directory 机器,它以显示一些图像的网页开始,其元数据用于创建机器上可能存在的用户名。事实证明,其中一个用户不需要预身份验证,因此构成了 ASREP 烘焙攻击的重要目标。发现的凭据然后用于枚举 LDAP 并发现用户 svc_smb 的凭据,该用户有权访问包含 Windows 二进制文件的 SMB 共享。对二进制文件执行动态分析表明,它尝试使用 m.lovegod 用户的明文凭据执行与域控制器的 LDAP 连接,该用户拥有 Network Audit 组,而该组又对 winrm_user 具有通用写入。按照此攻击路径并对 winrm_user 执行影子凭证攻击,然后可以使用 WinRM 并访问计算机。最后,使用 KrbRelay 工具将 winrm_user 用户添加到 Administrators 组,从而获得完全提升的权限。

所需知识

  • Enumeration
  • Windows Active Directory
  • Dynamic Analysis

所学知识

  • Kerberos Authentication
  • Access Control Lists(ACLs) Modification
  • KrbRelay
  • Interactive Sessions

Enumeration

Nmap

最初的 Nmap 输出显示有很多开放端口,表明该机器使用 Active Directory。在端口 80 上,我们找到了一个 IIS Web 服务器。此外,根据输出,我们有两个有效的机器主机名;一个指的是域 absolute.htb ,另一个可能指的是域控制器 dc.absolute.htb 。因此,我们相应地修改我们的主机文件:

此外,其中许多端口都与 Kerberos 身份验证相关。如果我们稍后要使用 Kerberos 身份验证,我们必须记住,根据 Nmap,我们的本地机器和远程服务器之间有 7 小时的差异。 Kerberos 仅在时差为 5 分钟或更短时才起作用。

IIS-PORT 80

我们通过访问 http://absolute.htb 开始我们的枚举。该页面似乎显示图像幻灯片:

由于该页面提到了我们的作品,我们可以放心地假设这些图像属于有权访问服务器的人。查看站点的源代码,我们找到图像的路径:

for i in {1..6}; do wget http://absolute.htb/images/hero_$i.jpg; done

image-20230619191946549

然后我们使用 exiftool 从所有图像中提取元数据。

exiftool *.jpg

image-20230619192045824

作者字段似乎包含拍摄相应照片的用户的全名。我们可以使用这些名称,并在 username-anarchy 脚本的帮助下,为机器生成一个可能的用户名列表。

首先,我们必须提取 Author 字段中出现的每个名称。

$ exiftool *.jpg | grep -i Author | cut -d ":" -f 2 | cut -d " " -f 2,3 > authors

然后,我们生成一个可能的用户列表。

$ ruby username-anarchy/username-anarchy -i authors -f flast,lfirst,f.last > usernames

image-20230619192844796