- Регистрация
- 5 Апр 2025
- Сообщения
- 99
- Реакции
- 2
- Баллы
- 8
Предыстория
В инфраструктурных пентестах на базе Active Directory довольно часто заказчики предоставляют специалисту доменную учетную запись и рабочую станцию, не обладающую правами локального администратора. На практике это означает, что большинство действий приходится выполнять с ограниченными правами. Лично я не всегда стремлюсь к немедленному повышению привилегий — если можно двигаться дальше в рамках минимального доступа, я делаю это. Однако, если появляется возможность получить более высокий уровень доступа, например, права администратора, игнорировать её — ошибка.
В условиях отсутствия LAPS (Local Administrator Password Solution) мы можем извлечь хэш пароля локального администратора и проверить его на других хостах, либо среди учетных записей домена. Это может привести к расширению области контроля и дальнейшему закреплению в инфраструктуре.
Важно учитывать ограничения по умолчанию: ретрансляция NTLM-аутентификации из SMB в LDAP заблокирована на современных контроллерах домена благодаря включённой подписи SMB. Тем не менее, ретрансляция из HTTP в LDAP всё ещё возможна, что открывает путь для следующих техник:
— RBCD (Resource-Based Constrained Delegation) — делегирование Kerberos-доступа на основе ресурсов;
— Shadow Credentials — внедрение теневых учетных данных.
Техническая суть подхода заключается в следующем: мы определяем, на каких машинах запущена служба WebClient, инициируем принудительную аутентификацию компьютера и ретранслируем NTLM на контроллер домена для изменения его атрибутов. Затем используем эти изменения для получения доступа к системе уже с правами локального администратора.
---
Подготовка
Лабораторная среда для демонстрации техники включала:
• WS-536 — клиентская машина в домене, Windows 10 с последними апдейтами;
• DC01 — контроллер домена с поддержкой PKINIT (Kerberos PKI);
• Pentester — низкопривилегированная доменная учетка с RDP-доступом к WS-536.
Используемые инструменты и утилиты:
• NTLMRelayx — для ретрансляции NTLM и включения службы WebClient;
• Coercer — запускает принудительную аутентификацию с удалённого хоста;
• Rubeus — одна из самых мощных утилит для работы с Kerberos-билетами;
• SCMUACBypass — позволяет получить консоль с привилегиями SYSTEM.
---
Эксплуатация
Теперь, когда инфраструктура подготовлена и инструменты настроены, можно перейти к пошаговой реализации атаки.
---
Принудительное включение WebClient
Даже без прав администратора можно включить службу WebClient на целевом хосте. Один из способов реализуется через ретрансляцию NTLM и выполнение удалённой команды на машине. Это важно, потому что WebClient необходим для успешной работы Coercer и других техник ретрансляции.
---
Получение TGT через PKINIT
После получения сертификата, привязанного к нашей машине, мы можем использовать его для запроса Kerberos TGT-билета. Для этого применяется Rubeus. Данный шаг критически важен — он обеспечивает основу для всех последующих Kerberos-манипуляций.
---
Выполнение S4U2Self для получения сервисного билета
Функция S4U2Self (Service-for-User-to-Self) позволяет получить сервисный билет от имени другого пользователя для собственной учетной записи, если у неё есть хотя бы один SPN. Это особенно полезно, когда мы хотим имперсонализировать пользователя, защищённого от делегирования (например, члена группы Protected Users).
В этом примере мы используем TGT-билет, полученный ранее, и выполняем запрос сервисного билета от имени администратора домена. Это позволяет создать доверенный канал доступа от лица привилегированной учетной записи.
---
Получение SYSTEM-доступа
Завершающий этап — запуск утилиты SCMUACBypass. Она создает службу, которая позволяет получить консоль с правами SYSTEM, минуя UAC. Это позволяет выполнять любые действия в системе, в том числе скрытую установку бекдоров или эскалацию в другие сегменты.
---
Очистка следов и возврат системы к исходному состоянию
Важно не оставлять артефакты после эксплуатации. Для этого выполняются следующие действия:
1. Удаление созданной службы SYSTEM-доступа:
sc.exe delete UacBypassedService
Если не удалить её, команда Start-Service UacBypassedService снова активирует SYSTEM-доступ.
2. Очистка атрибута Kerberos, связанного с теневыми учетными данными:
.\Whisker.exe clear /target:ws-536$
Это удаляет значение msDS-KeyCredentialLink, связанное с Shadow Credentials.
---
Заключение
Атака остаётся работоспособной в актуальных версиях Windows 10, если только администратор не внедрил защитные меры. Её следует применять исключительно в рамках разрешённых пентестов и аудита информационной безопасности.
Рекомендации по защите:
• Включите LDAP Signing и LDAP Channel Binding на контроллерах домена;
• Заблокируйте возможность запуска службы WebClient через GPO;
• Настройте фильтрацию RPC для предотвращения Coercer-атак.
В инфраструктурных пентестах на базе Active Directory довольно часто заказчики предоставляют специалисту доменную учетную запись и рабочую станцию, не обладающую правами локального администратора. На практике это означает, что большинство действий приходится выполнять с ограниченными правами. Лично я не всегда стремлюсь к немедленному повышению привилегий — если можно двигаться дальше в рамках минимального доступа, я делаю это. Однако, если появляется возможность получить более высокий уровень доступа, например, права администратора, игнорировать её — ошибка.
В условиях отсутствия LAPS (Local Administrator Password Solution) мы можем извлечь хэш пароля локального администратора и проверить его на других хостах, либо среди учетных записей домена. Это может привести к расширению области контроля и дальнейшему закреплению в инфраструктуре.
Важно учитывать ограничения по умолчанию: ретрансляция NTLM-аутентификации из SMB в LDAP заблокирована на современных контроллерах домена благодаря включённой подписи SMB. Тем не менее, ретрансляция из HTTP в LDAP всё ещё возможна, что открывает путь для следующих техник:
— RBCD (Resource-Based Constrained Delegation) — делегирование Kerberos-доступа на основе ресурсов;
— Shadow Credentials — внедрение теневых учетных данных.
Техническая суть подхода заключается в следующем: мы определяем, на каких машинах запущена служба WebClient, инициируем принудительную аутентификацию компьютера и ретранслируем NTLM на контроллер домена для изменения его атрибутов. Затем используем эти изменения для получения доступа к системе уже с правами локального администратора.
---
Подготовка
Лабораторная среда для демонстрации техники включала:
• WS-536 — клиентская машина в домене, Windows 10 с последними апдейтами;
• DC01 — контроллер домена с поддержкой PKINIT (Kerberos PKI);
• Pentester — низкопривилегированная доменная учетка с RDP-доступом к WS-536.
Используемые инструменты и утилиты:
• NTLMRelayx — для ретрансляции NTLM и включения службы WebClient;
• Coercer — запускает принудительную аутентификацию с удалённого хоста;
• Rubeus — одна из самых мощных утилит для работы с Kerberos-билетами;
• SCMUACBypass — позволяет получить консоль с привилегиями SYSTEM.
---
Эксплуатация
Теперь, когда инфраструктура подготовлена и инструменты настроены, можно перейти к пошаговой реализации атаки.
---
Принудительное включение WebClient
Даже без прав администратора можно включить службу WebClient на целевом хосте. Один из способов реализуется через ретрансляцию NTLM и выполнение удалённой команды на машине. Это важно, потому что WebClient необходим для успешной работы Coercer и других техник ретрансляции.
---
Получение TGT через PKINIT
После получения сертификата, привязанного к нашей машине, мы можем использовать его для запроса Kerberos TGT-билета. Для этого применяется Rubeus. Данный шаг критически важен — он обеспечивает основу для всех последующих Kerberos-манипуляций.
---
Выполнение S4U2Self для получения сервисного билета
Функция S4U2Self (Service-for-User-to-Self) позволяет получить сервисный билет от имени другого пользователя для собственной учетной записи, если у неё есть хотя бы один SPN. Это особенно полезно, когда мы хотим имперсонализировать пользователя, защищённого от делегирования (например, члена группы Protected Users).
В этом примере мы используем TGT-билет, полученный ранее, и выполняем запрос сервисного билета от имени администратора домена. Это позволяет создать доверенный канал доступа от лица привилегированной учетной записи.
---
Получение SYSTEM-доступа
Завершающий этап — запуск утилиты SCMUACBypass. Она создает службу, которая позволяет получить консоль с правами SYSTEM, минуя UAC. Это позволяет выполнять любые действия в системе, в том числе скрытую установку бекдоров или эскалацию в другие сегменты.
---
Очистка следов и возврат системы к исходному состоянию
Важно не оставлять артефакты после эксплуатации. Для этого выполняются следующие действия:
1. Удаление созданной службы SYSTEM-доступа:
sc.exe delete UacBypassedService
Если не удалить её, команда Start-Service UacBypassedService снова активирует SYSTEM-доступ.
2. Очистка атрибута Kerberos, связанного с теневыми учетными данными:
.\Whisker.exe clear /target:ws-536$
Это удаляет значение msDS-KeyCredentialLink, связанное с Shadow Credentials.
---
Заключение
Атака остаётся работоспособной в актуальных версиях Windows 10, если только администратор не внедрил защитные меры. Её следует применять исключительно в рамках разрешённых пентестов и аудита информационной безопасности.
Рекомендации по защите:
• Включите LDAP Signing и LDAP Channel Binding на контроллерах домена;
• Заблокируйте возможность запуска службы WebClient через GPO;
• Настройте фильтрацию RPC для предотвращения Coercer-атак.