在本系列的第一部门中,我们回首了 FreeIPA 使用的一些靠山和基础手艺。我们还讨论了几种身份验证机制和凭证的形式,稀奇是作为攻击者我们该若何识别、剖析和重用凭证。若是你还没有读过第一部门,你可以在这里找到:

· https://posts.specterops.io/attacking-freeipa-part-i-authentication-77e73d837d6a

在本系列的这一部门中,我们将深入到一个定制的实验室环境中,来演示 FreeIPA 中的种种工具和结构是若何事情的,以及它们是若何相互交互的。然后我们将学习若何枚举这些结构。

实验室环境

在我们深入讨论之前,让我们简要回首一下实验室环境是若何确立的,以及它的总体结构。 电银付app使用教程(dianyinzhifu.com):攻击 FreeIPA 域(下):工具枚举 内网渗透 第1张

详细设计 FreeIPA 实验室环境的图解

上面的图表是我为这个系列文章确立的 FreeIPA 实验室环境的总体布局,已经被用于平安研究。 FreeIPA 背后的团队为 FreeIPA 服务器和跨多个盛行操作系统的客户机维护了 docker 镜像。你可以在 Dockerhub 或者 Github 上找到这些 docker 镜像,链接如下:

· https://hub.docker.com/r/freeipa/freeipa-server/

· https://github.com/freeipa/freeipa-container

所有的文档和安装说明都可以在 FreeIPA 网站上找到,链接如下:

· https://www.freeipa.org/page/Docker

我们在这个演习中的出发点将放弃对托管 FreeIPA 环境中的受损 web 服务器的接见。其目的是最终获得域的治理员凭证,并从 SQL 数据库中提取出敏感数据。在我们深入研究这些目的之前,让我们先领会一下 FreeIPA 环境中的一些基本工具和枚举手艺。

主机、用户和组

与 windows 流动目录 (AD) 稀奇相似,FreeIPA 允许治理员确立主机和用户。这些主机和用户可以划分根据称为“主机组”和“用户组”的容器举行排序。与 AD 相比,这些群组的功效异常类似于组织单元(OU)。

基于主机的接见控制规则(HBAC-Rules)、特权、角色和 sudo-Rules 可以应用于上述任何工具。若是你不熟悉HBAC-Rules、 Privileges、 Roles 或 Sudo-Rules,不必忧郁。稍后我们将深入探讨这些问题

有多种方式枚举来自 IPA 服务器中关于域的信息。在这篇文章中,我将实验先容以下两种方式:

· 在 LDAP 服务器上使用轻型目录接见协议(LDAP) 查询

· 行使内置的 IPA 治理工具

在这样的靠山下,让我们深入实验室,更先枚举 FreeIPA 中的用户、主机、用户组和主机组。

通过 LDAP 查询枚举

在 FreeIPA 中默认情形下,LDAP 服务器允许匿名绑定,而且大量数据是在未经身份验证的情形下可枚举的。然则,在未经身份验证的情形下并非所有数据都是可枚举的。 ACL 显式珍爱了卖力映射平安授权控件的数据。下面的下令将检索所有未经身份验证的可用数据:

ldapsearch -x

在本文的其余部门,所有 ldapsearch 下令都将经由身份验证。在本系列的第一篇文章中,我们将详细先容若何在 FreeIPA 环境中识别和使用凭证。

有了有用的凭证,我们就可以加倍详细,通过为每个搜索设置目的的基本专有名称(DN)来过滤查询。下面的查询标识了实验室环境中的所有用户:

ldapsearch -Y gssapi -b "cn=users,cn=compat,dc=westeros,dc=local"

电银付app使用教程(dianyinzhifu.com):攻击 FreeIPA 域(下):工具枚举 内网渗透 第2张

LDAP 的响应数据详细说明晰实验室环境中的用户

我们可以使用相同的查询和稍微修改的基本专有名称来检索环境中所有主机的数据:

ldapsearch -Y gssapi -b "cn=computers,cn=accounts,dc=westeros,dc=local"

 电银付app使用教程(dianyinzhifu.com):攻击 FreeIPA 域(下):工具枚举 内网渗透 第3张

LDAP 的响应数据中包罗了在实验室环境中的主机的详细信息

同样,我们可以修改基本专有名称来检索每个主机组和用户组:

ldapsearch -Y gssapi -b "cn=hostgroups,cn=accounts,dc=westeros,dc=local"                               
--------------------------------------------------------------------
ldapsearch -Y gssapi -b "cn=groups,cn=accounts,dc=westeros,dc=local"

通过 IPA 治理工具举行枚举

默认情形下,注册到 FreeIPA 域的主机将安装 IPA 治理工具作为注册历程的一部门。这个工具对于环境的枚举和设置异常有用。正如我们在上面讨论的那样,让我们回首一下若何使用内置的 IPA 治理工具枚举关于用户、主机、用户组和主机组的信息。

遗憾的是,若是没有有用的域凭证,则无法使用 IPA 工具。若是你发现自己处于缺乏有用域凭证的情形,那么每个主机都市部署一个针对该主机的 keytab 凭证。此 keytab 可用于为主机自己获取有用的凭证缓存(CCACHE)票据授予票据(TGT)。

有了有用的凭证和对 ipa 实用程序的接见权限,你可以使用以下下令枚举相关信息:

ipa user-find
ipa usergroup-find
ipa host-find
ipa host-group-find
-------------------
ipa user-show  --all
ipa usergroup-show  --all
ipa host-find  --all
ipa hostgroup-show  --all

HBAC-Rule

Fedora 的 FreeIPA 文档将 HBAC-Rule 界说为:

接见控制,在一个高层次上,界说谁可以接见什么。谁可以是用户或主机(源主机) ,什么可以是主机(目的主机)、服务或服务组,或三者的组合。

HBAC-Rule 应该用于委托对特定资源的接见。若是设置准确,这种接见控制可以异常有用地削减横向移动。作为一个攻击者,我们可以使用 HBAC-Rule 来识别哪些帐户被委托接见环境中的特定资源。

让我们回首一下若何枚举这些计谋。

通过 LDAP 查询举行枚举

下面的下令可以用来检索实验室环境中的所有 HBAC-Rule:

ldapsearch -Y gssapi -b "cn=hbac,dc=westeros,dc=local"

 电银付app使用教程(dianyinzhifu.com):攻击 FreeIPA 域(下):工具枚举 内网渗透 第4张

LDAP 的响应数据详细描述了实验室环境中的 HBAC-Rule

通过 IPA 治理工具举行枚举

,

皇冠APP

皇冠APP(www.huangguan.us)是一个提供皇冠 *** APP下载、皇冠会员APP下载、皇冠体育最新登录线路、新2皇冠网址的的体育平台。也只有皇冠APP可以真正地带给你顶级体育赛事的娱乐体验感。立马一键皇冠体育开户,世界体育赛事等你欣赏。

,

下面的下令可用于检索实验室环境中的所有 HBAC-Rule。

ipa hbacrule-find
-----------------
ipa hbacrule-show  --all

Sudo-Rules

Fedora 的 FreeIPA 文档将 Sudo-Rules 界说为:

Sudo 规则在某种意义上类似于接见控制规则: 它们界说被授予接见权限的用户、规则范围内的下令,然后是规则应用的目的主机。在 FreeIPA 中,可以在规则中设置其他信息,好比 sudoers 选项和 run-as 设置,然则基本元素总是界说谁、什么(服务)和那里(主机)

FreeIPA 提供了通过 sudo-rules 从一个集中的源治理 sudo 权限的能力。这些规则集可用于限制或委托在域中注册的主机上作为 sudo 执行下令的能力。作为一个攻击者,我们可以枚举哪些主机和用户也应用了这些规则集,以及哪些下令是允许通过规则集的。

通过 LDAP 查询举行枚举

下面的下令可以用来检索实验室环境中的所有 sudo-rules:

ldapsearch -Y gssapi -b "cn=sudorules,cn=sudo,dc=westeros,dc=local"

 电银付app使用教程(dianyinzhifu.com):攻击 FreeIPA 域(下):工具枚举 内网渗透 第5张

LDAP 的响应数据详细描述了实验室环境中的 sudo-rule

通过IPA治理工具举行枚举

下面的下令可以用来检索实验室环境中的所有 sudo-rules。

ipa sudorule-find
-----------------
ipa sudorule-show  --all

基于角色的接见控制

Fedora 的 FreeIPA 文档将以角色为基础的接见控制界说为:

基于以角色为基础的接见控制(RBAC)是一种组织接见 FreeIPA 治理的数据的分层方式。在组织中执行相同义务的差别用户通常组合成一个组,而且该组成为 FreeIPA 角色的成员。此角色为成员组和用户提供执行分配义务所需的权限。

在 FreeIPA 中的角色由几个差别的元素组成。每个角色都包罗一组特权,而这些响应的特权包罗一组权限。角色可以应用于用户、用户组、主机、主机组和服务。为了说明这个观点,我们来讨论一下 FreeIPA 中默认的“用户治理员”角色。

 电银付app使用教程(dianyinzhifu.com):攻击 FreeIPA 域(下):工具枚举 内网渗透 第6张

枚举 FreeIPA 中用户治理员角色的权限

如上图所示,“用户治理员”角色包罗以下特权:

· 用户治理员

· 组治理员

· 阶段用户治理员

我们可以进一步深入研究并枚举授予每个特权的权限。

电银付app使用教程(dianyinzhifu.com):攻击 FreeIPA 域(下):工具枚举 内网渗透 第7张

枚举给定特权的权限

正如我们可以看到的,“用户治理员”角色在环境中包罗相当多的权限。明白角色、特权和权限的一样平常观点和结构对于识别整个环境中的攻击路径至关重要。

通过 LDAP 查询举行枚举

下面的下令可以用来检索实验室环境中的所有角色:

ldapsearch -Y gssapi -b "cn=roles,cn=accounts,dc=westeros,dc=local"

电银付app使用教程(dianyinzhifu.com):攻击 FreeIPA 域(下):工具枚举 内网渗透 第8张

LDAP 的响应数据详细说明晰“用户治理员”角色的属性

通过 IPA 治理工具举行枚举

下面的下令可以用来检索实验室环境中的所有角色、特权和权限。

ipa role-find
ipa role-show  --all
ipa privilege-find 
ipa privilege-show  --all
ipa permission-find
ipa permission-show  --all

总结

希望到目前为止,我们对 FreeIPA 环境中的种种差别类型的工具有了稍微更好的明白,并对它们的意义有了更深的领会。作为攻击者,不仅要能够枚举,而且要能够明白这些工具的重要性,这一点至关重要。

在本系列的下列文章中,我将着眼于讨论以下内容:

· 行使本文中先容的枚举手艺来发现实验室环境中的攻击路径

· 最后,概述了 FreeIPA 环境中攻击者可能滥用的一些错误设置和怪异场景

参考资料

· 界说基于主机的接见控制规则,Fedora,https://docs.fedoraproject.org/en-US/Fedora/15/html/FreeIPA_Guide/hbac-rules.html

· Fedora, 界说 Sudo-Rules,Fedora,https://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/defining-sudorules.html

· Docker, FreeIPA,,https://www.freeipa.org/page/Docker

· FreeIPA 容器,Github,https://github.com/freeipa/freeipa-container

· FreeIPA 服务器,DockerHub,https://hub.docker.com/r/freeipa/freeipa-server/

· MIT Kerberos 文档,https://web.mit.edu/kerberos/krb5-latest/doc/

· Kerberos凭证窃取(GNU/Linux)、Ronan Loftus和Arne Zi *** erhttps://www.delaat.net/rp/2016-2017/p97/report.pdf

本文翻译自:https://posts.specterops.io/attacking-freeipa-part-ii-enumeration-ad27224371e1如若转载,请注明原文地址: Allbet声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:电银付app使用教程(dianyinzhifu.com):攻击 FreeIPA 域(下):工具枚举
发布评论

分享到:

电银付免费激活码(dianyinzhifu.com):通过lsass远程提取凭证
1 条回复
  1. AllbetGaming手机版下载
    AllbetGaming手机版下载
    (2021-01-19 00:00:20) 1#

    如此一来,杜兰特将可提前1场竞赛宣告归队,现在他已经缺席先前篮网与爵士之战,加上今天篮网出战七六人、明天遭到灰熊两战无法上场,他至少将会缺席3场,纳许先前也曾透露,杜兰特现在情绪异常差,也对自己没法竞赛感应失望。忒好看了点

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。