Внимание! На этой странице вы найдете материал урока из архивного курса по пентесту (Тестирование на проникновение во внутреннюю сеть под управлением Active Directory). Курс был написан в 2024 году и будет интересен системным администраторам, специалистам по защите данных и другим специалистам.
Полный список уроков доступен по тегу Архивный курс по пентесту Active Directory и на странице первого урока.
Автор статьи никого не призывает к правонарушениям и отказывается нести ответственность за ваши действия. Вся информация предоставлена исключительно в образовательных и ознакомительных целях. Все действия происходят на виртуальных машинах и внутри локальной сети автора. Спасибо!
- В предыдущем уроке искали учётные данные в общих папках с помощью manspider.
- В этом уроке продолжим поиск информации, которая поможет в дальнейшем продвижении по сети.
- Познакомимся с инструментами enum4linux и rpcclient.
- Инструмент enum4linux является обёрткой утилит smbclient, rpcclient, net, nmblookup и предназначен для перечисления информации.
- Попробуем перечислить все доступные общие папки с помощью enum4linux.
- С помощью флагов enum4linux можно управлять выводом: информация о пользователях, машинах, парольной политике и группах.
- С помощью rpcclient также можно перечислять информацию с контроллера домена.
- В уроке научились перечислять информацию с серверов и контроллера домена с помощью enum4linux и rpcclient.
В предыдущем уроке мы искали учётные данные в доступных общих папках с помощью manspider. В этом уроке продолжим поиск информации, которая поможет в дальнейшем продвижении по сети. Познакомимся с инструментами enum4linux и rpcclient.
Перечисление информации с серверов
В уроке по поиску общих папок с помощью CrackMapExec мы нашли два сервера с доступными общими папками. Сделаем тоже самое, только другим инструментом.
Этот другой инструмент: enum4linux, который является обёрткой утилит smbclient, rpcclient, net, nmblookup и предназначен для перечисления информации.
Попробуем перечислить все доступные общие папки с помощью enum4linux:
enum4linux -S -u "a" -p "" 192.168.56.22Флаги -u и -p как и во многих утилитах указывают логин и пароль, соответственно. Для анонимного доступа мы указываем логин a. Про анонимный доступ к общим папкам говорили ранее. С флагом -S инструмент enum4linux выведет только список доступных общих папок.
Так же рассмотрим другие флаги enum4linux.
- Флаг
-U: получения списка пользователей. - Флаг
-M: получение списка машин. - Флаг
-P: получение информации о парольной политике. - Флаг
-G: получение списка групп и членов этих групп. - Флаг
-o: информация об операционных системах.
Результат такой же, но представлен в другом виде:
Перечисление информации с контроллера домена (DC)
Нам удалось получить точно такую же информацию по общим папкам с помощью enum4linux, но это не все на что способен этот инструмент. Попробуем перечислить всю сеть, вдруг удастся найти что-то полезное.
enum4linux -a -u "" -p "" 192.168.56.10-23Флаг -a можно было не указывать, он включен по умолчанию: включает все перечисления (-S, -M и так далее).
Вывод предыдущей команды оказался более объемным и интересным. Разберемся подробнее.
Для более лаконичного вывода команда на скриншоте была немного изменена: указан только нужный IP-адрес.
На этом скриншоте нас может заинтересовать MAC-адрес и SID домена.
Нам так же удалось перечислить пользователей домена (флаг -U):
Парольную политику (флаг -P), которая пригодится в дальнейшем при переборе учётных записей:
Пользовательские группы (флаг -G):
И пользователи, которые входят в эти группы (флаг -G):
Из-за неправильной, вернее сказать - небезопасной, настройки контроллера домена (192.168.56.11) мы получили эти данные.
По умолчанию, все авторизованные пользователи домена могут считывать информацию с него, но в особых случаях администраторы могут включить возможность доступа без учётной записи, что и было сделано на DC 192.168.56.11.
Занесем полученные данные в заметки, они помогут нам в дальнейшем при прохождении стенда GOAD.
Перечисление информации с помощью rpcclient
Точно так же мы можем перечислять информацию с контроллера домена утилитой rpcclient. Она лежит в основе инструмента enum4linux, поэтому вывод должен быть точно такой же. Подключимся к контроллеру домена с помощью инструмента rpcclient:
rpcclient -U "%" 192.168.56.11Успешно подключились, теперь можем выполнять различные команды в rpcclient. Перечислим пользователей:
enumdomusers
Перечислим группы:
enumdomgroups
Результат такой же как у enum4linux, поэтому выбор инструмента за вами.
Подведем итог
В этом уроке мы научились перечислять информацию с серверов и контроллера домена с помощью enum4linux и rpcclient.
Мы обнаружили анонимный доступ к одному из контроллеров домена лабораторного стенда GOAD и получили список пользователей. В следующем разделе мы более подробно разберемся со способами поиска пользователей, а сейчас подведем итоги сбора дополнительной информации из доступных общих папок.
Переходите к следующему уроку курса, а так же не забудьте посмотреть новый материал на Codebra по тегам Пентест и Active Directory.
