THM - Breaching Active Directory (1)
랩실에서 실습하기 위한 사전 준비
[ATTACKBOX]
systemd-resolve --interface breachad --set-dns {THMDC_IP} --set-domain za.tryhackme.com
nslookup thmdc.za.tryhackme.com
Task 4 LDAP Bind Credentials
애플리케이션이 사용할 수 있는 AD인증방법
4.1 NTLM
- 시도-응답 기반 체계인 NetNTLM을 사용
- 애플리케이션이 사용자를 대신하여 인증, 애플리케이션 자체에서 직접 사용자를 인증하지 않음
- AD자격증명은 DC에만 저장 (애플리케이션에 저장X)
4.2 LDAP
- 애플리케이션이 사용자의 자격 증명을 직접 확인함
- 애플리케이션은 AD 자격증명 쌍을 가지고 있음
(해당 쌍을 사용해서 LDAP에 쿼리,AD 사용자의 자격증명을 확인함)
4.2.1 LDAP을 통한 인증과정
User ↔ Network Connected Printer ↔ Domain Controller
(1) 사용자→프린터 : AD 계정/패스워드와 함께 인쇄 요청
(2) 프린터→DC : AD 자격증명을 사용하여 LDAP 바인딩 요청 생성
(3) DC→프린터 : 바인딩 응답 제공
(4) 프린터→DC : LDAP 사용자 검색 요청
(5) DC→프린터 : 사용자 검색에 대한응답
(6) 프린터→DC : LDAP 사용자 자격증명으로 요청 바인딩
(7) DC→프린터 : 바인딩 응답 전송
(8) 프린터→사용자 : 사용자가 인증되고, 인쇄 작업 수락
4.2.2 LDAP 패스백 공격
회의실에 악성 장치를 연결하는 등 내부 네트워크에 대한 초기 액세스 권한을 얻은 경우 프린터와 같은 네트워크 장치에 대한 일반적인 공격임.
4.2.3 악성 LDAP 서버 호스팅
→ OpenLDAP을 활용
1) OpenLDAP 설치
sudo apt-get update && sudo apt-get -y install slapd ldap-utils && sudo systemctl enable slapd
2) LDAP 서버 재구성
sudo dpkg-reconfigure -p low slapd
3) 지원하는 인증 매커니즘을 다운그레이드하여 취약한 서버로 구성
→ olcSaslSecProps.ldif 생성
*LDAP 서버가 PLAIN 및 LOGIN 인증 방법만 지원하도록 설정할 것.
*olcSaslSecProps : SASL 보안 속성을 지정
*noanonymous: 익명로그인 지원 비활성화
*minssf: 최소 허용 보안 강도 0으로 설정(보호하지 않음)
dn: cn=config
replace: olcSaslSecProps
olcSaslSecProps: noanonymous,minssf=0,passcred※ 주의사항 : THM에서 그대로 복붙하면 개행이 하나씩 더 생기는데, 이러면 설정이 적용되지 않는다.
4) 설정 적용 후 서비스 재시작
sudo ldapmodify -Y EXTERNAL -H ldapi:// -f ./olcSaslSecProps.ldif && sudo service slapd restart
5) LDAP 설정이 적용되었는지 확인
ldapsearch -H ldap:// -x -LLL -s base -b "" supportedSASLMechanisms
# 결과
dn:
supportedSASLMechanisms: PLAIN
supportedSASLMechanisms: LOGIN
6) 평문으로 전송되는 인증값 확인
* tcpdump : 네트워크 패킷을 캡처하고 출력하는 명령
* S 옵션 : 패킷 데이터 출력 시 스냅샷 길이를 제한하지 않음
* X 옵션 : 패킷 데이터 출력 시 16진수, ASCII 문자 함께 출력
* i 옵션 : 'breachad'라는 네트워크 인터페이스를 통하는 패킷 데이터 출력
* tcp port 389 : 필터링 조건
tcpdump -SX -i breachad tcp port 389