Demo

nmap tìm kiếm thông tin

Đối với ASRepRoasting, hiệu quả nhất có thể sử dụng script impacket-GetNPUsers trong impacket-collection, một bộ công cụ “must-have” khi pentest Active Directory.

Vì chưa có thông tin xác thực nào nên chúng ta cần chọn option 4 với usersfile là file chứa các username tìm được khi enumerate:

hashcat -m 18200 hash.txt /usr/share/wordlists/rockyou.txt

Kiểm tra xem cặp tên người dùng và mật khẩu có thể đăng nhập thành công vào dịch vụ SMB trên máy đích hay không

Một số ví dụ về những gì có thể làm với các thông tin xác thực này:

• Sử dụng LDAP để dump thêm các thông tin trong domain

• Dùng Bloodhound để mô phỏng các đường dẫn đến Domain Admins

• Dùng impacket để khởi tạo pseudo-shells

• Check xem thông tin xác thực này có thể sử dụng ở các service khác không (SSH, website authentication, FTP, SMB)

Ví dụ trong trường hợp này LDAP đang chạy ở port 389 và có thông tin xác thực hợp lệ nên có thể sử dụng LDAPDomainDump để truy xuất các thông tin trong domain:

Tóm tắt

1. Attacker enumarate tài khoản người dùng trên AD mà không yêu cầu pre-authentication

2. Attacker yêu cầu Kerberos Ticket-Granting Ticket (TGT)

3. AD Domain Controller phản hồi lại với TGT mà không yêu cầu mật khẩu tài khoản cho pre-authentication

4. Attacker sử dụng một công cụ để trích xuất mã bằm từ một gói tin đã bắt được

Để biết được hoạt động và ngăn chặn sớm, có thể sử dụng Filter Current Log để tìm Event ID 4768.

Tìm người dùng có Pre-Authentication Type là “0”