Privilege Escalation & Domain Compromise
Analyse: Mit den frisch geknackten Anmeldedaten `websvc:jordan23` versuche ich, über `impacket-smbexec` eine Shell zu bekommen. Der Versuch schlägt fehl mit der Meldung `STATUS_PASSWORD_EXPIRED`. Das Passwort ist abgelaufen. Das gleiche Ergebnis erhalte ich mit `netexec` (`nxc`).
Bewertung: Dies ist eine unerwartete, aber realistische Hürde. Obwohl ich das korrekte Passwort habe, verhindert die Sicherheitsrichtlinie des Systems den Login, da eine Passwortänderung erzwungen wird. Ich kann mich nicht direkt anmelden, aber oft erlauben es die Protokolle, sich zu authentifizieren und *nur* das Passwort zu ändern.
Empfehlung (Pentester): Ich muss ein Tool verwenden, das eine Passwortänderung bei der ersten Anmeldung unterstützt. Alternativ kann ich, wie hier geschehen, das Passwort direkt an der Konsole der virtuellen Maschine ändern, was in einem CTF eine legitime Abkürzung darstellt, um den Test fortzusetzen. Ich habe das Passwort auf `password` geändert.
Empfehlung (Admin): Das Erzwingen von Passwortänderungen nach einer bestimmten Zeit ist eine gängige Sicherheitsrichtlinie. Es kann Angreifer vorübergehend blockieren, die alte, kompromittierte Anmeldeinformationen verwenden.
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies
[-] SMB SessionError: code: 0xc0000071 - STATUS_PASSWORD_EXPIRED - The user account password has expired.
Analyse: Nach der Passwortänderung versuche ich erneut, mit Tools wie `impacket-psexec` Zugriff zu erlangen, was jedoch fehlschlägt, da der Benutzer `websvc` keine administrativen Rechte auf die benötigten Shares (wie `ADMIN$`) hat. Ein Versuch, Service Principal Names (SPNs) mit `GetUserSPNs` abzufragen, schlägt ebenfalls fehl. Ein Login mit `smbclient` ist jedoch erfolgreich und gewährt mir Zugriff auf die C$-Freigabe.
Bewertung: Der Benutzer `websvc` ist ein niedrig privilegierter Dienstbenutzer. Er hat keine administrativen Rechte, aber er hat Leseberechtigung auf das Dateisystem. Dies ist ein wichtiger Fortschritt. Ich kann nun das Dateisystem nach sensiblen Informationen, Konfigurationsdateien oder Skripten durchsuchen. Ich enumeriere das `C:\Users`-Verzeichnis und finde eine Liste von Benutzern auf dem System.
Empfehlung (Pentester): Ich muss das Dateisystem systematisch durchsuchen. Die Home-Verzeichnisse der gefundenen Benutzer (`fjudy998`, `ojake987`, `rtina979` etc.) sind ein guter Ausgangspunkt, um nach Flags, Passwörtern in Klartext oder anderen Hinweisen zu suchen.
Empfehlung (Admin): Dienstkonten wie `websvc` sollten nach dem Prinzip der geringsten Rechte konfiguriert werden. Wenn ein Dienst nur auf ein bestimmtes Verzeichnis (z.B. `C:\inetpub\wwwroot`) zugreifen muss, sollten seine Berechtigungen darauf beschränkt werden. Der Lesezugriff auf das gesamte `C:`-Laufwerk ist überprivilegiert und erleichtert die Post-Exploitation-Phase für einen Angreifer erheblich.
Password for [WORKGROUP\websvc]: Try "help" to get a list of possible commands. smb: \> ls ... Users DR 0 Thu Nov 7 02:55:53 2024 ... smb: \> cd Users\ smb: \Users\> ls ... fjudy998 D 0 Thu Nov 7 02:55:33 2024 ojake987 D 0 Thu Nov 7 02:55:16 2024 rtina979 D 0 Thu Nov 7 02:54:39 2024 websvc D 0 Thu Nov 7 02:44:11 2024 xursula991 D 0 Thu Nov 7 02:55:28 2024 ...
Analyse: Während ich die Benutzerverzeichnisse durchsuche, finde ich auf dem Desktop des `websvc`-Benutzers die `user.txt`-Datei und kann sie herunterladen. Parallel dazu nutze ich `netexec` (`nxc`), um die Beschreibungen der Benutzerkonten in der Domain abzufragen. In der Beschreibung des Benutzers `rtina979` finde ich ein Klartextpasswort: `Z~l3JhcV#7Q-1#M`.
Bewertung: Dies sind zwei wichtige Funde. Die User-Flag ist gesichert. Das im Klartext in einer Benutzerbeschreibung gespeicherte Passwort ist eine schwere Sicherheitslücke. Solche Informationen sollten niemals in ungeschützten Attributen von AD-Objekten gespeichert werden. Ich habe nun ein weiteres Set an Anmeldeinformationen.
Empfehlung (Pentester): Ich werde versuchen, mich mit dem Benutzer `rtina979` und dem gefundenen Passwort anzumelden, um zu sehen, ob dieser Benutzer höhere Berechtigungen hat. Insbesondere werde ich sein Home-Verzeichnis gründlich durchsuchen.
Empfehlung (Admin): Passwörter dürfen niemals in Klartext in AD-Attributen wie "Description", "Info" oder anderen Feldern gespeichert werden. Schulen Sie Administratoren und Helpdesk-Mitarbeiter, solche Praktiken strikt zu vermeiden. Verwenden Sie dedizierte, sichere Passwort-Management-Systeme.
getting file \Users\websvc\Desktop\user.txt of size 32 as user.txt (2,8 KiloBytes/sec) (average 2,8 KiloBytes/sec)
...
SMB 192.168.2.200 445 DC01 rtina979 2024-11-07 01:53:17 578 Default Password Z~l3JhcV#7Q-1#M
...
Analyse: Mit den Anmeldeinformationen von `rtina979` durchsuche ich dessen `Documents`-Ordner und finde eine passwortgeschützte RAR-Datei namens `Report.rar`. Parallel dazu führe ich mit `kerbrute` eine User-Enumeration gegen den Kerberos-Dienst durch, um weitere gültige Benutzernamen zu finden, was aber für den weiteren Verlauf nicht entscheidend war.
Bewertung: Die passwortgeschützte RAR-Datei ist ein klassisches CTF-Element. Sie enthält mit hoher Wahrscheinlichkeit wichtige Informationen. Ich muss das Passwort für diese Datei knacken. Ich nutze `rar2john`, um den Hash-Wert der Datei zu extrahieren, und `john` mit der `rockyou.txt`-Wortliste, um den Hash zu knacken. Das Passwort wird als `PASSWORD123` identifiziert.
Empfehlung (Pentester): Nachdem das Archiv entpackt ist, müssen die darin enthaltenen Dateien sorgfältig analysiert werden. Ich erwarte, in dem "Pentest Report.htm" weitere Anmeldeinformationen oder Hinweise auf die nächste Schwachstelle zu finden.
Empfehlung (Admin): Das Speichern sensibler Berichte in unverschlüsselten oder schwach verschlüsselten Archiven auf den Desktops von Benutzern ist eine unsichere Praxis. Wenn Daten verschlüsselt werden müssen, sollten starke, einzigartige Passwörter verwendet werden, die nicht leicht zu erraten oder per Wörterbuchangriff zu knacken sind.
...
PASSWORD123 (rep.rar)
1g 0:00:00:11 DONE (2025-07-23 01:23) 0.08354g/s 4330p/s 4330c/s 4330C/s abdulla..011706
...
Proof of Concept
Analyse: Ich analysiere den Inhalt des entpackten `Pentest Report.htm`. Die Datei ist ein alter Pentest-Bericht über die Domain selbst. Darin finde ich mehrere entscheidende Informationen: 1. Anmeldeinformationen für einen Dienstbenutzer: `file_svc:Password123!!`. 2. Den NTHash des `krbtgt`-Kontos: `d72c66e955a6dc0fe5e76d205a630b15`. Der Report zeigt fälschlicherweise einen anderen Hash, der korrekte wurde jedoch durch andere Mittel gefunden. (Annahme basierend auf dem späteren Vorgehen).
Bewertung: Dies ist der Jackpot. Ein alter Pentest-Bericht, der im Netzwerk zurückgelassen wurde, enthält die "Schlüssel zum Königreich". Der NTHash des `krbtgt`-Kontos ist die Grundlage für den "Golden Ticket"-Angriff. Mit diesem Hash kann ich Kerberos-Tickets für jeden beliebigen Benutzer in der Domain fälschen, einschließlich des `Administrator`-Kontos, und mir so Domain-Admin-Rechte verschaffen.
Empfehlung (Pentester): Der Angriffsplan ist klar:
1. Synchronisiere die Zeit meines Angreifer-Systems mit dem Domain Controller, um Kerberos-Fehler (`KRB_AP_ERR_SKEW`) zu vermeiden.
2. Verwende `impacket-ticketer`, um mit dem `krbtgt`-Hash und der Domain-SID (die ich mit `lookupsid` ermittle) ein gefälschtes Ticket Granting Ticket (TGT) für den Administrator zu erstellen.
3. Lade dieses Ticket in meine Umgebung (`export KRB5CCNAME=...`).
4. Greife mit diesem Ticket auf den Domain Controller zu, z.B. mit `impacket-psexec` oder `impacket-wmiexec`, um eine administrative Shell zu erhalten.
Empfehlung (Admin): Alte Berichte, insbesondere solche mit sensiblen Informationen wie Credentials oder Hashes, müssen nach Abschluss eines Projekts sicher archiviert oder vernichtet werden. Das `krbtgt`-Passwort sollte regelmäßig (mindestens alle 180 Tage) und insbesondere nach dem Verdacht einer Kompromittierung zweimal hintereinander geändert werden, um alle potenziell gestohlenen Hashes ungültig zu machen.
...Bloodhound Analysis: Performed enumeration using valid credentials file_svc:Password123!!...
Analyse: Ich führe den Golden-Ticket-Angriff durch. Zuerst synchronisiere ich die Uhrzeit mit `rdate`. Dann erstelle ich mit `impacket-ticketer` das Ticket für den Administrator unter Verwendung des `krbtgt`-Hashes und der Domain-SID. Ich exportiere das Ticket in meine Umgebungsvariable `KRB5CCNAME`. Schließlich verwende ich `impacket-wmiexec` mit der Kerberos-Authentifizierung (`-k`) und ohne Passwort (`-no-pass`), um mich mit dem DC zu verbinden.
Bewertung: Der Angriff ist vollständig erfolgreich. `wmiexec` stellt eine Verbindung her und ich erhalte eine administrative Kommandozeile (`C:\>`). Ich habe die vollständige Kontrolle über den Domain Controller.
Empfehlung (Pentester): Der Test ist abgeschlossen. Ich navigiere zum Desktop des Administrators und lese die `root.txt`, um den Erfolg zu beweisen.
Empfehlung (Admin): Die Erkennung von Golden-Ticket-Angriffen ist schwierig, da die Tickets legitim erscheinen. Advanced Threat Analytics (ATA) und andere Verhaltensanalyse-Tools können jedoch Anomalien erkennen, z.B. wenn ein Ticket eine ungewöhnlich lange Lebensdauer hat oder wenn sich ein Benutzer von einem ungewöhnlichen Arbeitsplatz aus anmeldet. Das Ändern des `krbtgt`-Passworts ist die einzige Möglichkeit, einen Angreifer, der den Hash besitzt, auszusperren.
Thu Jul 24 05:16:11 UTC 2025
... [*] Saving ticket in administrator.ccache
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies [*] SMBv3.0 dialect used [!] Launching semi-interactive shell - Careful what you execute [!] Press help for extra shell commands C:\>whoami /all ... C:\users\administrator\desktop>type root.txt 1c66eabe105636d7e0b82ec1fa87cb7a