banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

アクティブディレクトリのゲーム(GOAD) パート 1 偵察とスキャン

image

調査とスキャン#

前書き#

最近、家のコンピュータを開く時間ができたので、GOAD ターゲット環境の実験を始めました。GOAD ターゲット環境のワイティングは、まず著者のプロセスに従って進め、後で学んだことを基に自己理解や補足を行う予定です。

環境構築は以前のブログを参考にしました:https://lca.xlog.app/game-of-active-directoryGOAD-yu-huan-jing-da-jian

実験を行う前に、VM 仮想マシンのスナップショットを作成します。

image

すべてのマシンを起動します。

image

環境のネットワーク設定

image

ubuntu:VirtualBox がホストする VM 仮想マシンの IP 範囲は:192.168.31.0/24
virtualbox:GOAD ターゲット環境の仮想マシンの IP 範囲は 192.168.56.1/0

image

したがって、環境全体のアクセスパスは次のとおりです:

windows(ホスト - IP:192.168.31.151)-> ubuntu(VM 仮想マシン - IP:192.168.31.142)-> GOAD ターゲット環境(virtualbox 仮想マシン - IP:192.168.56.1/24)

kali を攻撃マシンとして使用したかったのですが、以前の記事のコメントにあったように、アクセスできなくなります。プロキシを使ってテストする必要がありますが、kali を起動するとメモリを消費します。私のホストマシンのメモリは 32G しかないため、もう一台 kali を起動すると、ターゲットマシンがメモリ不足でエラーになります。

ホストマシンの CPU も高騰します。

image

そのため、ubuntu 上で直接攻撃を行うことにしました。後で ubuntu マシンが攻撃の要件を満たさない場合は別の話です!

ネットワーク列挙#

image

cme

image

cme スキャンの結果は上の図の通りで、いくつかの有用な情報が返され、すべてのターゲットマシンの IP、名前、ドメイン情報を取得しました。

  • north.sevenkingdoms.local(2 つの IP)
    • CASTELBLACK 192.168.56.22
    • WINTERFELL 192.168.56.11
  • sevenkingdoms.local(1 つの IP)
    • KINGSLANDING 192.168.56.10
  • essos.local(2 つの IP)
    • MEEREEN 192.168.56.12
    • BRAAVOS 192.168.56.23

トポロジー図からも明らかに、GOAD ターゲットマシンには 3 つのドメインがあります。また、cme のスキャン結果から、DC の署名はすべて True(signing)であり、実際の環境では NTLM リレーを防ぐために、すべての署名を True に設定する必要があります。

DC の IP を探す#

image

nslookup を使用して DNS クエリを実行し、DC に関連する情報をリストアップできます。

  • nslookup:DNS クエリツール
    • -type=srv:SRV レコードを指定してクエリ
    • _ldap._tcp.dc._msdcs.sevenkingdoms.local:LDAP サービスを提供するドメインコントローラーの関連情報を探すためのホスト名
    • クエリする DNS サーバーの IP アドレス

sevenkingdoms.local をクエリ

image

north.sevenkingdoms.local をクエリ

image

essos.local をクエリ

image

/etc/hosts と kerberos の設定#

Linux 環境で kerberos を使用するには、いくつかの設定が必要です。

  1. /etc/hosts ファイルを設定して DNS を設定します。

image

kerberos Linux クライアントをインストールします。

sudo apt install krb5-user

image

image

admin_server を meereen.essos.local に設定します。

krb5-user がすでにインストールされている場合、または再構成する必要がある場合は、dpkg-reconfigure を使用するか、/etc/krb5.conf ファイルを編集して再構成できます。内容は次のとおりです:

kerberos の設定が完了したら、TGT チケットを取得できるかどうかを試してみます。

ダウンロード:

image

このように、kerberos が設定されました。

チケットを unset します。

他のいくつかのドメインをテストします。

image

image

なぜ Kerberos が Winterfell で完全な FQDN を使用すると機能しないのかはわかりませんが、Winterfell を設定するだけで問題ありませんでした。

image

nmap スキャン#

nmap をインストールします。

nmap を使用してスキャンを行い、次のパラメータを使用します。

パラメータは次のとおりです:

  • -Pn:ping スキャンを行わない
  • -p-:全ポートスキャン、1-65535
  • -sC:デフォルトの検出スクリプトを実行
  • -sV:指定されたポートでサービスバージョン検出を実行
  • -oA:3 つの形式で結果を出力

nmap スキャン結果は次のとおりです:

nmap 出力の XML 形式を整形します。

image

参考#

https://mayfly277.github.io/posts/GOADv2-pwning_part1/

読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。