Сбор информации об объектах

При таком подходе основное время уйдет на разведку в домене и энумерацию учетных записей.

Важные данные при сборе информации:

Домен
Доменные политики
Домен контроллеры
Пользователи
Компьютеры
Группы
Групповые политики (GPO)
Организационная единица (OU)
Список управления доступом (ACL)
Доверительные отношения (Trusts)
Лес
Сессии пользователей
DNS

Энумерация сессий

При получении доменной учетной записи появится возможность обращаться к машинам в домене и узнавать, какие активные сессии находятся на машинах. Можно использовать netview пакета Impacket:

netview.py -target 192.168.1.10 username, где пароль необходимо будет ввести через строку ввода.

Выгрузка всех машин домена и получение информации о актуальных сессиях.

netview.py domain.local/username

Также извлекать информацию о сессиях на машинах в AD возможно при помощи фреймворка PowerSploit и утилиты PowerView:

Get-NetLoggedon -ComputerName <servername>
Get-NetSession -ComputerName <servername>
Get-LoggedOnLocal -ComputerName <servername>
Get-LastLoggedon -ComputerName <servername>
Get-NetRDPSession -ComputerName <servername>

Сбор информации о пользователях и сессиях

Инструменты разведки в Active Directory

Windows:

Ручной анализ: ADModule, PowerView, RSAT, ADExplorer, LdapAdmin, ADIDNSRecords
Автоматизированный анализ: ADExplorer, Bloodhound, ADRecon

Linux:

Ручной анализ: ldapper, ldapsearch, windapsearch, rpcclient, adidnsdump, jxplorer, ldeep
Автоматизированный анализ: bloodhound-python, enum4linux, ldapdomaindump

BloodHound

Ссылка на проект

BloodHound использует теорию графов для выявления скрытых и часто непредусмотренных взаимосвязей в среде Active Directory или Azure.

Пентестеры могут использовать BloodHound для легкого выявления очень сложных путей атаки, которые иначе невозможно было бы быстро определить.

Защитники могут использовать BloodHound для выявления и устранения таких же путей атаки. Как "синие", так и "красные" команды могут использовать BloodHound для более глубокого понимания отношений привилегий в среде Active Directory или Azure.

Общее описание

A01:2021 – Broken Access Control

Общие требования

Система хранения информации

Структура информации при пентесте

Поиск хостов и открытых портов

Поиск доменных имен

OSINT

Shodan.io, Google

Email рассылки

Фаззинг

Направления

Тестовые стенды

Уязвимости механизмов авторизации

Уязвимости инъекции команд ОС

Уязвимости контроля доступа

Файлы и каталоги

SQL-инъекции

Внедрение внешних сущностей XML

Межсайтовый скриптинг (XSS)

Burp

Nikto, nuclei и др.

HTTP request smuggling

Общая информация

Тестовый стенд

Версия сервиса и ОС

NMAP

NMAP Script Engine (NSE)

SMB VNC SMTP

Прослушивание паролей

Общая информация

Управление данными

Exploits

Payloads

Meterpreter

Автоматизация MSF

Общая идея

Пример атаки

Поиск email

setoolkit

Клонирование сайта

Общая информация и практика

Получение легитимного доступа

Внесение изменений в легитимные механизмы доступа

Внесение изменений в сервисы и внешние программы в ОС

Внесение изменений в ядро ОС и в предустановленные службы на нем

Внедрение бэкдоров аутентификации на основе PAM

Общая информация

Пример nmap

Эксплуатация ошибок администрирования ОС Linux

Практика

Общая информация

Примеры атак

Проброс сетевого трафика

Утилиты для проброса трафика

Использование внешних утилит для скрытия трафика

Практика проброса трафика

Общая информация

Поиск Win машин и эксплуатация Smb уязвимости

Обнаружение Windows машин

Атаки первичного доступа

Повышение привилегий

Практика первичного доступа

Практика повышения привилегий

Общая информация

Пример захвата управления

Уязвимости

Сбор информации об объектах

Миссконфигурация сервисов в AD

Практика

Общая информация

Подготовка и сравнение нагрузок

Увеличение скрытности

Ротация IP

Материалы

Общая информация

Инфраструктура

SIEM (ElasticSearch)

Системы аудита и внешний периметр

Email и облака