آموزش حمله pass the hash

0 124

سلام دوستان

امروز قراره یکی دیگه از روش های exploit کردن آسیب پذیری های kerberos در active directory رو با هم بررسی کنیم فقط یک نکته ی کوچیک این آسیب پذیری بر روی LDAP service های لینوکس مثل SAMBA , OpenLDAP هم رایجه و فقط مختص ویندوز نیست .

قبل شروع لازمه یک اطلاعاتی راجب ntlm hash داشته باشیم :در ویندوز برای احراز هویت از این نوع هش استفاده میشه حالا چه برای سرویس های تحت شبکه  و … .خب شاید تا قبل خوندن این مطلب خیلی ها دغدغه ی بدست آوردن پسورد ادمین رو دارند تا بتونند کرک کنند .اگر واقع بینانه به قضیه نگاه کنیم به صورت پیش فرض خوده مایکروسافت فقط پسورد های پیچیده (complex) رو قبول می کنه !این کار رو سخت می کنه چون ادمین های شبکه افراده عادی نیستن و پسورد های اون ها معمولا پیچیده هست و کرک کردن اون ها قطعا زمانه زیادی می بره و حتی ممکنه کرک نشه . از این رو هکر ها یک روش رو ابداع کردن که داشتن فقط مقدار ntlm هش برای گرفتن دسترسی domain admin یا هر کاربر دیگه کافی باشه . فرآیند این کار به این صورت هست کهntlm هش پسورد رو ما از هر روش که تونستیم پیدا می کنیم حالا یا متد DCSync  یا شنود ترافیک شبکه (sniff) یا … می تونه باشه.سرویسی در مایکروسافت وجود دارد با نام LSASS.exe که چند کار رو انجام میده یکی از اون کار ها برای authentication کردن (شناسایی) کاربران برای وصل شدن به یک سرویس یا یک سیستم تحت شبکه هست که با استفاده از ntlm hash مربوط به هر کاربر این کار رو انجام میده .ما اول باید به مموری (RAM) دسترسی پیدا کنیم تا بتونیم این سرویس رو دور بزنیم. برای این کار من از ابزار mimikatz استفاده می کنم :

اول با دستور privilege::debug دسترسی به مموری رو فراهم می کنیم و بعد با استفاده از متد sekurlsa::pth حمله رو انجام میدیم.عکس گویا هست.

بعده این که دستورات بالا رو اجرا کردیم ، یک cmd با دسترسی اون یوزر که برای ما administrator بود باز میشه و من برای تست فایل hack.txt رو بر روی domain controller بارگذاری کردم . اما داستان به همینجا ختم نمیشه کسی که تونسته به اکانت domain administrator دسترسی پیدا کنه هر کاری می تونه انجام بده برای مثال با دستور (sc (service control سرویس های مختلف رو مدیریت بکنه یا یک رابط کاربری powershell رو مدیریت کنه و انگار که ادمین اون دومین هست.

 

نتیجه گیری اخلاقی :

۱-از قابلیت protected user استفاده کنیم.

۲-جلوی شنود در شبکه رو بگیریم

۳-برای هر role یا سرویس در شبکه از domain administrator استفاده نکنیم که اگه یک سرور و هکر تونست نفوذ کنه باهاش تا ته شبکه رو بزنه.(یک یوزر برای پیکربندی DNS ، یک یوزر برای پیکربندی IIS و …)

۴-از سیستم های مانیتورینگ شبکه و امنیت شبکه که این حمله ها رو میشناسن استفاده کنیم که یا جلوش رو بگیرن یا حداقل لاگ تغییراتی که اتفاق افتاده رو نشون بدن.

۵-از DFL , FFL 2016 استفاده کنیم و DC هامون رو ارتقا بدیم تا بتونیم از قابلیت های جدید (feature) مثل PAM و غیره استفاده کنیم .

۶-یک دوره ی آموزش مال شرکت SANS با نام SEC505 هست که برای امنیت ویندوز هست که مطالعه ی اون  تاثیر بسزایی می زاره.

در آخر یک نکته رو می خواستم بگم شاید نشه من همه ی این حمله هارو بنویسم و روش های مقابله با هر کدوم رو دونه دونه بگم با توجه به این که سیستم عامل های دیگه و اجزای دیگه ای هم تو شبکه وجود داره ، تا اینجا ما golden ticket , pass the hash, DCsync رو بررسی کردیم اما آسیب پذیری های دیگه ای هم وجود داره مثل kerberoasting , silver ticket , pass the ticket , … که اونایی که علاقه مند به مطالعه تو این زمینه هستن می تونن از این لینک استفاده کنن که جدید ترین مطالب رو در این خصوص می زاره .

 

من هم به نوبه ی خودم تشکر می کنم که بدون ذکر نام نویسنده و نام منبع مطلبی رو انتشار نمی دید.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.