調査とスキャン#
前書き#
最近、家のコンピュータを開く時間ができたので、GOAD ターゲット環境の実験を始めました。GOAD ターゲット環境のワイティングは、まず著者のプロセスに従って進め、後で学んだことを基に自己理解や補足を行う予定です。
環境構築は以前のブログを参考にしました:https://lca.xlog.app/game-of-active-directoryGOAD-yu-huan-jing-da-jian
実験を行う前に、VM 仮想マシンのスナップショットを作成します。
すべてのマシンを起動します。
環境のネットワーク設定
ubuntu:VirtualBox がホストする VM 仮想マシンの IP 範囲は:192.168.31.0/24
virtualbox:GOAD ターゲット環境の仮想マシンの IP 範囲は 192.168.56.1/0
したがって、環境全体のアクセスパスは次のとおりです:
windows(ホスト - IP:192.168.31.151)-> ubuntu(VM 仮想マシン - IP:192.168.31.142)-> GOAD ターゲット環境(virtualbox 仮想マシン - IP:192.168.56.1/24)
kali を攻撃マシンとして使用したかったのですが、以前の記事のコメントにあったように、アクセスできなくなります。プロキシを使ってテストする必要がありますが、kali を起動するとメモリを消費します。私のホストマシンのメモリは 32G しかないため、もう一台 kali を起動すると、ターゲットマシンがメモリ不足でエラーになります。
ホストマシンの CPU も高騰します。
そのため、ubuntu 上で直接攻撃を行うことにしました。後で ubuntu マシンが攻撃の要件を満たさない場合は別の話です!
ネットワーク列挙#
cme
cme スキャンの結果は上の図の通りで、いくつかの有用な情報が返され、すべてのターゲットマシンの IP、名前、ドメイン情報を取得しました。
- north.sevenkingdoms.local(2 つの IP)
- CASTELBLACK 192.168.56.22
- WINTERFELL 192.168.56.11
- sevenkingdoms.local(1 つの IP)
- KINGSLANDING 192.168.56.10
- essos.local(2 つの IP)
- MEEREEN 192.168.56.12
- BRAAVOS 192.168.56.23
トポロジー図からも明らかに、GOAD ターゲットマシンには 3 つのドメインがあります。また、cme のスキャン結果から、DC の署名はすべて True(signing)であり、実際の環境では NTLM リレーを防ぐために、すべての署名を True に設定する必要があります。
DC の IP を探す#
nslookup を使用して DNS クエリを実行し、DC に関連する情報をリストアップできます。
- nslookup:DNS クエリツール
- -type=srv:SRV レコードを指定してクエリ
_ldap._tcp.dc._msdcs.sevenkingdoms.local
:LDAP サービスを提供するドメインコントローラーの関連情報を探すためのホスト名- クエリする DNS サーバーの IP アドレス
sevenkingdoms.local をクエリ
north.sevenkingdoms.local をクエリ
essos.local をクエリ
/etc/hosts と kerberos の設定#
Linux 環境で kerberos を使用するには、いくつかの設定が必要です。
- /etc/hosts ファイルを設定して DNS を設定します。
kerberos Linux クライアントをインストールします。
sudo apt install krb5-user
admin_server を meereen.essos.local に設定します。
krb5-user がすでにインストールされている場合、または再構成する必要がある場合は、dpkg-reconfigure を使用するか、/etc/krb5.conf ファイルを編集して再構成できます。内容は次のとおりです:
kerberos の設定が完了したら、TGT チケットを取得できるかどうかを試してみます。
ダウンロード:
このように、kerberos が設定されました。
チケットを unset します。
他のいくつかのドメインをテストします。
なぜ Kerberos が Winterfell で完全な FQDN を使用すると機能しないのかはわかりませんが、Winterfell を設定するだけで問題ありませんでした。
nmap スキャン#
nmap をインストールします。
nmap を使用してスキャンを行い、次のパラメータを使用します。
パラメータは次のとおりです:
- -Pn:ping スキャンを行わない
- -p-:全ポートスキャン、1-65535
- -sC:デフォルトの検出スクリプトを実行
- -sV:指定されたポートでサービスバージョン検出を実行
- -oA:3 つの形式で結果を出力
nmap スキャン結果は次のとおりです:
nmap 出力の XML 形式を整形します。