AKasec CTF 2024

Black Box Challenges

BOXS

Description

-> Bắt đầu việc Recon bằng cách Scan port open , các service đang mở

Result :

Sau khi thử qua các cổng 3268 LDAP , và port 80 thì là static web. ( RFC có thể cho phần sau )

Test dịch vụ SMB qua việc login ở user anonymous vì thì có thể nhưng không mở share nên không có gì

-> Thử Brute Force Username của Kerberos , công cụ sử dụng : kerbrute

1 phần kết quả brute force

Các tên người dùng này là hợp lệ, tức là chúng tồn tại trong hệ thống Active Directory của miền aka.sex. Điều này có nghĩa là các tài khoản này có thể tồn tại và có thể sử dụng để thử các kỹ thuật tấn công khác, chẳng hạn như brute-force mật khẩu hoặc tấn công thông qua các lỗ hổng bảo mật khác.

Tuy nhiên, không phải user nào cũng có thể tồn tại vuln tiếp nền cần test qua các user tìm thấy ở đây User hợp lệ : joseph.hughes@aka.sex

Cách Kiểm tra , sử dụng bộ công cụ của impacket cụ thể là impacket-GetNPUsers để trích xuất các thông tin đăng nhập (ticket) Kerberos của người dùng trong một môi trường Active Directory (AD).

Lấy được hash của joseph.hughes

có hash của user này tiến hành crack ( có thể dùng john hoặc hashcat ) , ở đây mình đã crack xong nên sẽ show ra thôi :

Tìm kiếm các template chứng chỉ dễ bị tấn công có thể bị lợi dụng :

certipy-ad find -scheme ldap -username joseph.hughes -password '!!fth!!692!!gyh!!67t!ha' -dc-ip 172.200.160.57 -stdout -vulnerable

note : trên windows thì chạy certipy còn riêng kali có bộ tool là certipy-ad

Full Result :

Tận dụng lỗ hổng ở : ESC1 và ESC3

  • ESC1 (Enrollment Services Configuration 1):

    • Mô tả: Lỗ hổng này xảy ra khi bất kỳ người dùng nào trong nhóm Domain Users có quyền yêu cầu chứng chỉ từ template này, và template cho phép người yêu cầu cung cấp Subject của chứng chỉ. Điều này có thể dẫn đến việc cấp chứng chỉ cho các mục đích xác thực khách hàng (Client Authentication).

    • Templates bị ảnh hưởng:

      • 5777eb13-5939-4a48-8d46-8ae561da870a

      • e4bf4d28-76f8-4b2f-b491-7843c4223a92 (Template này hiện đang không được kích hoạt - Enabled: False)

  • ESC3 (Enrollment Services Configuration 3):

    • Mô tả: Lỗ hổng này xảy ra khi bất kỳ người dùng nào trong nhóm Domain Users có quyền yêu cầu chứng chỉ từ template này, và template này có Certificate Request Agent EKU được đặt. Điều này có thể cho phép người yêu cầu chứng chỉ thực hiện các hành động yêu cầu chứng chỉ khác thay mặt cho người khác.

    • Templates bị ảnh hưởng:

      • 014ca453-3bea-405a-a9be-fbbada9e1d5a

Mình sẽ yêu cầu chứng chỉ từ template 5777eb13-5939-4a48-8d46-8ae561da870a:

Thu được cert dạng .pfx :

Xác thực vào AD :

sử dụng chứng chỉ PFX để xác thực vào môi trường Active Directory của miền aka.sex thông qua Domain Controller tại địa chỉ IP 172.200.160.57 của bài.

Sau khi có hash bây giờ có thể login với hash này vào server :

có thể sử dụng impacker-smbexec để login vào hoặc crackmapexec cũng có thể được

Pwned

Flag cần thiết sẽ ở folder User kexa thư mục Desktop :

PreviousSome CTF Pentest BoxsNextAKasec CTF 2024 ( English Writeup )

Last updated