大家好!
已经过了一分钟!
好吧,我们不要浪费时间,让我们立即开始吧。
前几天,我参加了一次有趣的渗透测试,并设想并执行了一条有趣的路径,将我的权限提升到域管理员。所以,我想我会在自己的设置中构建这个场景,以便与任何可能想出类似路径的渗透测试人员分享这条有趣的路径。一旦你布置好它,它就非常简单直接了。
让我们从定义开始。什么是 iDRAC?我们将使用 AI 生成的提示:
“集成戴尔远程访问控制器 (iDRAC) 是一种允许 IT 管理员远程或本地管理、监控和更新戴尔 PowerEdge 服务器的工具。iDRAC 是内置于戴尔服务器的基板管理控制器 (BMC),包含硬件和软件。”
本质上,您可以选择让它管理您的虚拟机!
通常,这些接口仅受用户名和密码保护(这没问题),但在渗透测试中,有时会发现它们要么使用默认凭据,要么易受IPMI v2.0 密码哈希泄露攻击。假设您找到了默认凭据(通常是root:calvin),或者假设您破解了 IPMI 漏洞的哈希。下一步是什么?作为参考,一旦您成功登录 iDRAC,您将看到以下内容:
当您查看上面的屏幕时,您认为您的选择是什么?请注意,它容易受到 IPMI v2.0 密码哈希泄露的攻击?请注意,应更改默认凭据并继续?我们等待管理员单击右下角的虚拟控制台屏幕并登录,以便您可以利用这一点,怎么样?所有方法都可以考虑,但我们希望在 Active Directory 中实现最高级别的权限。所以让我们这样做吧!
现在,如果您是基础设施领域的资深人士,您就会知道可以使用 utilman 可执行文件重置 Windows Server 内置管理员帐户(请自行阅读)。现在让我们回顾一下上面的屏幕截图。我们看到它是一个 Windows Server 2016 操作系统,具有相同的 Windows 架构,只是平台不同。那么如果我们将 utilman 重置方法应用于它,会怎么样?理论上讲得通,对吧?让我们开始吧!
iDRAC 架构要求我们附加虚拟媒体才能进行此重置。在这种情况下,让我们下载Windows Server 2016 ISO,然后将其附加到 iDRAC 中的操作系统。我在屏幕截图中添加了一些计数器,以便您可以看到成功下载 ISO 后要采取的步骤。
我们上传它
我们绘制地图
然后我们关闭对话。见下文:
现在,我们完成后,让我们单击启动选项,可以选择下面突出显示的选项。这告诉 iDRAC 从我们刚刚映射的 ISO 启动:
关闭系统电源:
重新启动它,您将看到以下屏幕,我们将单击突出显示的选项:
然后我们将看到另一个屏幕,我们将单击下面突出显示的选项:
我们应该在这里(确保您在安装 Windows 的目录中):
现在让我们切换到 system32 目录并运行一些命令。请参见下面的屏幕截图:
让我向您介绍一下我们正在做的事情:
ren utilman.exe utilman.123我们将 utilman.exe 重命名为 utilman.123,本质上是为了在完成任务后对其进行备份,以便将其放回去。
copy cmd.exe utilman.exe我们现在采用命令提示符(cmd.exe)并用它替换轻松访问(utilman.exe)。
完成后,输入“exit”并正常启动 Windows。完成后,您应该在这里:
单击突出显示的选项,您的轻松访问选项现在应该产生一个命令提示符,我们将在其中继续重置内置管理员帐户:
现在,如果您碰巧遇到的是域控制器,则只需在我们输入的命令末尾添加/domain 。现在让我们输入新密码,看看我们能否进入:
如果您很幸运,并且它是域控制器,那么您现在就是域管理员,您可以继续在渗透测试中享受乐趣。老实说,出于显而易见的原因,您不应该在渗透测试期间在域控制器上执行此操作。
我没那么幸运。在我的例子中,这是一台加入域的机器,希望域管理员不时与它交互?你知道我的意思吗?是的!一旦我们进入,我们就会加载我们选择的工具,让我们使用mimikatz。一旦我们加载它,我们将获得一个域管理员哈希,例如:
获取该哈希并登录到域控制器,就像您是域管理员一样:
请记住,如果管理员可以使用 DCSync,那么这也是一种选择。至于采用哪种方法,则由您自己决定。
结论
我省略了一些步骤。例如,正如我们在渗透测试中所知,我们会遇到阻止我们的工具。您必须使用常用技术绕过这些工具,以启动其他工具(如 mimikatz)以达到目标。这是我面临的挑战之一,但每个工具都不同,并且有自己独特的绕过方法,请做好研究!您可能会遇到 Windows Server 2019 及更高版本的问题,因此我将在下面添加有关如何解决该问题的参考资料,这是一个简单的过程。为了不让博客太长,我排除了该步骤以及还原所做的更改的步骤,因为它与重命名 utileman 可执行文件并替换它有关。您也可以在我的参考列表中查看。
参考:
https://www.rapid7.com/blog/post/2013/07/02/a-penetration-testers-guide-to-ipmi
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
