Bu yazımda TryHackMe platformunda bulunan Attacktive Directory makinesinin çözümünü yapacağım.
TryHackMe platformunda makineye ulaşmak için 2 yöntem vardır.
Birincisi bize verilen ovpn ile kali makinemizde sisteme bağlanmak.
Diğer seçenek de platform üzerindeki AttackBox’ ı kullanmak.
Ben makineyi çözerken indirdiğim ovpn ile kali makinemden çözümleri yapacağım.
Makinenin Linki: https://tryhackme.com/room/attacktivedirectory
Makinenin Çözüm Adımları
1. İlk olarak vpn bağlantımızı yapalım o zaman.
Kalide terminalimi açıyorum ve openvpn beratfurkan.ovpn kodunu çalıştırarak vpn bağlantımı sağlıyorum. (beratfurkan.ovpn: İndirdiğim VPN konfigürasyon dosyası)
2. Makineyi çözmeden önce bazı kurulumlar yapmamız gerekiyor. (TryHackMe’ nin önerdiği programlar)
Impacket setup:
Windows ağ protokolleri için python ile yazılmış bir koleksiyondur. İçinde bir çok protokol bulunur.(Ethernet, IP, TCP, UDP, ICMP, IGMP, LDAP ARP, IPv4 ve IPv6 Desteği. NMB ve SMB1, SMB2 ve SMB3 TCP, SMB / TCP, SMB / NetBIOS ve HTTP.NTLM ve Kerberos)
- git clone https://github.com/SecureAuthCorp/impacket.git /opt/impacket
- pip3 install -r /opt/impacket/requirements.txt
cd /opt/impacket/ && python3 ./setup.py install
Bloodhound and Neo4j setup:
Attacktive Directory’ye saldırırken kullanacağımız başka bir araçtır. Kullanımını detaylı göreceğiz.
apt install bloodhound neo4j- Eğer yüklemede sorun yaşıyorsanız önce bunu çalıştırın:
apt update && apt upgrade
3. Şimdi hedef makineyi nmap ile tarayalım.
4. Hangi tool’ un 139/445 portlarındaki numaralandırılması için kullanılacağını soruyor. Enum4linux: windows ve samba sistemlerinde enumeration yapmak için kullanılır.
5. Domain name ismini soruyor.
6. İnsanlar Active Directory Etki Alanları için yaygın olarak hangi TLD’yi kullanır?: .local
7. Kerbrute içindeki hangi komut, geçerli kullanıcı adlarını numaralandırmamıza izin verecek?
Bunu cevaplamak için önce kerbrute programını da indirelim. Bunun için: https://github.com/ropnop/kerbrute/releases adresinden kerbrute’ u indiriyorum.
Daha sonra da çalıştırmak için ./kerbrute_linux_amd64 -h diyorum.
8. Hangi önemli hesabın keşfedildiğini soruluyor. Bunun için kerbrute ile tarama yapacağız.
Ama öncesinde kullanıcı adı ve şifre listelerini indiriyorum (Sitenin verdiği username ve password listeleri)
wget https://raw.githubusercontent.com/Sq00ky/attacktive-directory-tools/master/userlist.txt
wget https://raw.githubusercontent.com/Sq00ky/attacktive-directory -tools/master/passwordlist.txt
Artık taramayı başlatabiliriz
Burada kayda değer kullanıcı ne diye soruyor svc-admin diğeri de backup
9. Şimdi ilk indirdiğimiz impacket aracını kullanacağız.
NOT : Tespit edilen kullanıcıları masaüstünde validuser.txt diye bir dosyanın içine yazdım.
Burada scv-admin‘ in password hash’ ini buluyoruz.
Hashcat arama sayfasına gidiyorum: https://hashcat.net/wiki/doku.php?id=example_hashes
O zaman artık svc-admin’ in şifresini kıralım. Bunun için hashcat aracını kullanacağım. Masaüstünde hash.txt diye bir dosya oluşturup tespit edilen hash’ i içine yapıştırıyorum.
hashcat –force -m 18200 -a 0 hash.txt /usr/share/wordlists/rockyou.txt
Buradan şifrenin:
10. Uzak SMB paylaşımlarını eşleştirmek için hangi yardımcı programı kullanabiliriz diye soruyor. smbclient‘ ı kullanabiliriz.
11. Artık ayrıcalık yükseltme yapmamız isteniyor.
Bir araç daha yükleyecez.
sudo gem install evil-winrm
Hangi saldırı yöntemi, parola olmadan kullanıcı olarak kimlik doğrulamamıza izin verebilir diye soruyor: pass the hash
evil de hangi seçenek hash kullanmamıza izin verecek: -H
12. Artık bayrakları bulalım.
1.bayrak: TryHackMe{K3rb3r0s_Pr3_4uth}
2.bayrak: TryHackMe{B4ckM3UpSc0tty!}
3.bayrak: TryHackMe{4ctiveD1rectoryM4st3r}
Tüm cevaplar sırasıyla:
Task 3:
enum4linux
THM-AD
.local
Task 4:
userenum
svc-admin
backup
Task 5:
svc-admin
Kerberos 5, etype 23, AS-REP
18200
management2005
Task 6:
smbclient
-L
6
backup
YmFja3VwQHNwb29reXNlYy5sb2NhbDpiYWNrdXAyNTE3ODYw
backup@spookysec.local:backup2517860
Task 7:
DRSUAPI
0e0363213e37b94221497260b0bcb4fc
pass the hash
-H
Task 8:
TryHackMe{K3rb3r0s_Pr3_4uth}
TryHackMe{B4ckM3UpSc0tty!}
TryHackMe{4ctiveD1rectoryM4st3r}
Sızma testi alanında eğitimler alarak kendinizi ya da kurum personellerinizi geliştirmek istiyorsanız bizimle iletişime geçebilirsiniz.
Diğer CTF çözümlerinde görüşmek üzere. Bizi takip etmeye devam edin…
