حمله به Kerberos با متد DC Sync

9 672

سلام دوستان  امروز می خوایم یه مبحث جذاب و ادامه دار رو با هم بررسی کنیم اما قبل از اون باید یه گپ خیلی کوتاه راجب یک سری پیش نیاز های این حمله بزنیم.

خب همون طور که احتمالا می دونید Active directoryمایکروسافت یکی از بهترین و امن ترین و کامل ترین سرویس های موجود بر روی پروتکل LDAP هست و میشه گفت واقعا بدون رقیب ! اما همیشه امنیت نسبیه و چه کنم که از بخت بد روزگار ما مجبوریم ضعف های اون رو بررسی کنیم 😀

اول یه نکته رو با هم بررسی کنیم چه چیز هایی بین (DC(Domain controller ها رد و بدل میشه (Replicate):

  • Domain naming partition(Domain wide)

اطلاعات مربوط به object ها مثل computer و user و … و به طور کلی اطلاعات داخل ntds.dit  ردوبدل میشود.

  • Schema partition (Forest wide)

اطلاعات مربوط به ساختار Schema ردو بدل میشود درسطح کل forest

  • Configuration Partition(Forest wide)

داده های مربوط به configuration فارست (forest) و Tree

  • Application partition (Domain or forest wide)

یک سری برنامه های خاص که با AD می تونن integrate بشن مثل DNS ADI

 

خب ما در حده خیلی خیلی کوتاه صحبت کردیم ولی امیدوارم شما قبلا با این مفاهیم انقدر آشنا باشید که لازم نباشه این هارو بخونید.خب حالا dcsync چیه؟یک آسیب پذیری بر روی پروتکلی که DC ها با هم Replicate می کنند وجود داره که می تونه قسمت مربوط به Domain naming context رو در اختیار attacker قرار بده (NTDS.dit)

من از ابزار mimikatz برای نمایش این آسیب پذیری استفاده کردم :

در این مثال ما اطلاعات مربوط به کاربر krbtgt رو می بینیم که این خیلی خطرناکه چون می تونه باعث حمله هایی مثل Golden ticket بشود.

حالا اطلاعات domain administrator رو میبینیم :

دلیل اینکه من قسمت HASH NTLM رو رنگی کردم چون اگه ما بتونیم هش مربوط به ادمین دامین رو داشته باشیم می تونیم یک command prompt با دسترسی ادمین دامین رو داشته باشیم (Pass the hash)

نکته ی پایانی

این آموزش ابتدای کاره بعدها قراره مطالب مربوط به Golden ticket و Pass the hash و Kerberoast و pass the ticket و … که همه بر روی Domain هست رو بررسی کنیم و این مقدمه هست و روی همه ی سرور ها جواب می ده و به پروتکل مربوطه نه ورژن سیستم عامل !

من هم به نوبه ی خودم تشکر می کنم که بدون ذکر کردن نام نویسنده و منبع مطلبی رو انتشار نمی دید.

9 نظرات
  1. احسان امجدی می گوید

    مثل همیشه عالی و روان بود سالار جان. خوب شد شما هم به ضعف های مایکروسافت رو اشاره کردی 🙂

    1. سالار بختیاری می گوید

      قربان شما
      به هر حال گل بی عیب فقط خداست مایکروسافت هم تو این زمینه های زیادی ضعف داره 😀

  2. میلاد اسحاقی می گوید

    به به عالی عالی ، آقای امجدی من به شما علاقه دارم ، نذارید بگممم
    خیلی مشتاقم ادامه نکات ببینم جناب بختیاری ، فقط نکات امنیتی مایکروسافت رو هم بگو که برای این حملات در نظر گرفته شده !! اصلا میتونیم شما نکات ضعف بگی ما روش های حل این نکات ضعف بگیم ( اینم از نکات قوت مایکروسافت آقای امجدی 😀 )

    1. احسان امجدی می گوید

      🙁 “”اصلا میتونیم شما نکات ضعف بگی ما روش های حل این نکات ضعف بگیم”””

      این حرکت واسه نقطه ضعف های موردی صدق میکنه… وگرنه اگه قرار به گفتن نقاط ضعف مایکروسافت باشه، یه نیروی تمام وقت و بیکار فقط واسه این کار باید کنار گذاشت و اگه بنا به برطرف کردن نقاط ضعف مایکروسافت باشه، در کل باید پلت فرمتو عوض کنی… 🙂 🙂

  3. سالار بختیاری می گوید

    باعث افتخاره مهندس حتما ولی اول می خوام تهدیدات رو کامل بنویسم که قشنگ این حس به وجود بیاد nextو next و next به خودی خود امن نیست و باید یه سری پیکربندی انجام بشه بعدش حتما راهکار هاشو می نویسم
    اگه شما مایکروسافتی های عزیز هم کمک کنید که دیگه عالی می شه

  4. میلاد اسحاقی می گوید

    مرسی ،عالی بود آقای بختیاری عزیز ، شخصا موافق با نظر شما و واقعا امن کردن سرویس های راه اندازی شده دقیقا یکی از وظایف ادمین های عزیز هست که خیلی از وقت ها فراموش میشه و انشالله شما امنیت کارهای به ما مایکروسافتی ها ! کمک کنید تا جهت افزایش امنیت سرویس های شبکه دانشمان را ارتقا و شبکه را بهینه کنیم ، مشتقانه منتظر شروع مطالب هستم

  5. فرهاد خانلری می گوید

    آقای بختیاری عزیز عالی بود امیدوارم به کمک هم بتونیم نقات ضعف رو به نقات قوت تبدیل کنیم و این تبادل اطلاعات باعث بشه شبکه ایمن تری داشته باشیم.

    1. سالار بختیاری می گوید

      قربان شما آقای خانلری عزیز با کمک و تجربه ی شما حتما میشه احتمالا کلا ۵ ۶ تا حمله مخصوص دامین رو و روش های ایمن سازیش رو مطلبش رو بزارم بعد روی پلتفرم های دیگه هم میریم

  6. نگار می گوید

    خیلی عالی ،ممنون

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.