欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_安全防护正文

经由过程 4 个简朴的步骤猎取 Azure 中的 DC 哈希

b9e08c31ae1faa592019-12-1759申博_新闻事件

译文声明
本文是翻译文章,文章原作者fortynorthsecurity,文章泉源:fortynorthsecurity.com
原文地点:https://fortynorthsecurity.com/blog/powershell-azure-and-password-hashes-in-4-steps/

译文仅供参考,具体内容表达以及寄义原文为准

0x00 媒介

不久前,在这篇文章中相识到用于从 AWS 中运转的域控制器中盗取哈希的东西。因而手动测试了该历程,而且在无需与域控制器自身交互的情况下,胜利的提取了暗码哈希。平常有以下操纵:
  1. 制造 AWS 中域控制器硬盘的快照;
  2. 将快照转换成 AWS 内的卷;
  3. 将该卷挂载到可控制的其他假造机上(本例运用 Debian ec2 实例举行测试);
  4. 运用 SecretsDump 之类的东西从装置的卷中猎取暗码哈希。
PS:或许就运用上述文章中的 CloudCopy 在 AWS 中自动化完成这一历程。 当认识到这类卷影复制要领的滥用关于红队成员是有大用处的,所以迥殊想晓得此要领是不是有可能对 Azure 中的域控制器也有一样的效果。

0x01 要领

以下要领基于可接见 Azure 中的域控制器的账号权限。

1.1、在 Azure 中设置 VM

起首,在 Azure 内部布置了 Windows Server 2016 Datacenter 假造机,并装置了 Active Directory 角色,并将一个新用户增加到 Active Directory 中,以便后续轻易考证哈希。

1.2、拍摄 DC 磁盘快照

接下来,经由过程点击 “Create snapshot” 选项按钮,在 Azure 中为该域控制器拍摄了快照。 经由过程 4 个简朴的步骤猎取 Azure 中的 DC 哈希  申博_新闻事件 第1张 在点击 “Create snapshot” 选项按钮后,会进入一个新的页面,为此快照供应一些必要的信息。 经由过程 4 个简朴的步骤猎取 Azure 中的 DC 哈希  申博_新闻事件 第2张 真正须要的信息仅仅是快照称号与其地点的资本组。单击底部的 “ Create” 选项按钮建立快照。

1.3、将快照转换为可装置的假造磁盘

建立快照胜利后,能够将其装换为可装置的假造磁盘。
  • 单击左边的 "All services" 选项
  • 指定 “compute” 效劳
  • 然后挑选 “Disks” 选项
经由过程 4 个简朴的步骤猎取 Azure 中的 DC 哈希  申博_新闻事件 第3张
  • 在 “Disks” 选项菜单中,挑选 “Add” 磁盘,以下图显现:
经由过程 4 个简朴的步骤猎取 Azure 中的 DC 哈希  申博_新闻事件 第4张 注重:确保要在个中建立磁盘的区域与快照地点的区域雷同。 关于 “Source type” 选项,挑选 “Snapshot”,然后 “Source snapshot” 选项则是方才建立的快照。 一切的内容都写上内容以后,就建立磁盘。

1.4、将磁盘连接到新的或已运转的假造机

末了一步是建立一个新的假造机(假如在没有过剩的正在运转的假造机),并将方才建立的磁盘连接到该假造机。 假如要建立新的假造机,只需在设置假造机的历程当中增加一个分外的数据磁盘即可(确保挑选了方才建立的包含了哈希的磁盘)。 在建立假造机装置号磁盘后,能够像一般文件夹一样,可一般预览。将该磁盘上的 SYSTEM 和 “NTDS.dit” 文件复制到 Debian VM 中的其他地方,而且装置了 Impacket。此时,我们只须要准确的运转 secretsdump.py,可猎取暗码哈希。
某cms审计之exp表达式注入 和thinkphp3.2.3的exp注入类似。 payload http://php.local/public/index.php/home/index/bind_follow/?publicid=1&is_ajax=1&uid[0]=exp&uid[1]=) and updatexml(1,concat(0x7e,user(),0x7e),1) -- + 还有多个模块均存在注入 分析 \app\home\controller\Index::bind_follow() uid直接通过I()获取 跟进 wp_where() function wp_where($field) { if (!is_ar
经由过程 4 个简朴的步骤猎取 Azure 中的 DC 哈希  申博_新闻事件 第5张

0x02 敕令行操纵

本章节,将运用 Powershell 从 Azure 中完成对域控制器猎取哈希的历程。以下要领基于可接见 Azure 中的域控制器的账号权限。

2.1、设置 Powershell 与 Azure 交互

起首,须要将 Azure cmdlet 导入当前的 Powershell 会话中,然后经由过程 Powershell 向 Azure 举行身份考证。 经由过程 4 个简朴的步骤猎取 Azure 中的 DC 哈希  申博_新闻事件 第6张 经由过程对 Poweshell 会话的身份考证,我们如今能够运用 Azure 特定的 Powershell cmdlet 完成我们想要做的事变。 起首,我们想晓得目的假造机是在哪一个区域和资本组中运转。则能够运用 Get-AzResourceGroup cmdlet 列出运动的资本组。 经由过程 4 个简朴的步骤猎取 Azure 中的 DC 哈希  申博_新闻事件 第7张 列出效果后,我们能够看到正在运用的资本组称号为 InternalDomain,它在美国西部 2 区域运转。接下来,能够继承查询在该资本组中运转的假造机,能够运用 Get-AzVm cmdlet 完成。 经由过程 4 个简朴的步骤猎取 Azure 中的 DC 哈希  申博_新闻事件 第8张

2.2、拍摄 DC 磁盘快照

如今,我们晓得在 INTERNALDOMAIN 资本组中有一个名为 Server2016DC 的假造机正在运转 Windows Server 2016体系。自此,我们已控制了以建立快照所需信息的敕令。我们将从 Get-AzVm 的变量中捕捉所需的数据,以建立快照。 经由过程 4 个简朴的步骤猎取 Azure 中的 DC 哈希  申博_新闻事件 第9张 接下来,只须要基于 Get-AzVm 的输出,运用 New-AzSnapshotConfig 敕令构建快照的设置。设置好以后,只须要实行 New-AzSnapshot 敕令,即可建立快照。 经由过程 4 个简朴的步骤猎取 Azure 中的 DC 哈希  申博_新闻事件 第10张

2.3、将快照转换为假造磁盘

建立快照后,接下来要做的就是将快照转换为假造磁盘。起首,运用 GET-AzSnapshot 敕令来指定要转换的快照,然后运用 New-AzDiskConfig 建立生成一个假造磁盘的设置,末了运用 New-AzDisk 建立新的磁盘。 经由过程 4 个简朴的步骤猎取 Azure 中的 DC 哈希  申博_新闻事件 第11张 如许,我们的磁盘已建立完成!!!假如须要考证,可经由过程上岸到 Auzre 流派站点,检察新建立的磁盘。

2.4、将磁盘连接到 VM

剩下的将磁盘连接到假造机,猎取哈希值,全部步骤,我盘算将它留给读者本身完成,这里有一些协助文档,可协助读者完成此步骤。

0x03 结论

猎取到哈希值后,可自行发挥其效果。 此进击操纵,能够经由过程一些最好实践来防备:
  • 确保一切用户都启用了多重身份考证;
  • 确认只要管理员用户才能够检察 Azure 中的敏感体系/数据,并与之交互;
  • 管理员可建立防备用户在 Azure 中制造磁盘快照的划定规矩;
  • 限定 Microsoft.Compute/snapshots/write 的权限,完全的文档 - 协助文档。
 

网友评论