Blog

Akerva

Faites l’expérience de la sécurité active & réactive

WonkaChall

WonkaChall Akerva NDH2018 – Write Up Part 4

WonkaChall | 09/07/2018  

Part 4 - Compromission du domaine DEV

  Il faut ensuite compromettre le domaine de développement « DEV ». Or aucune relation de confiance n’est configurée entre les deux domaines. La présence d’un raccourci (vers un partage sur le DC DEV) sur le desktop de l’admin nous permet d’imaginer...

 

Part 4 – Compromission du domaine DEV

 

Il faut ensuite compromettre le domaine de développement « DEV ». Or aucune relation de confiance n’est configurée entre les deux domaines.

La présence d’un raccourci (vers un partage sur le DC DEV) sur le desktop de l’admin nous permet d’imaginer que des interactions ont lieu entre les personnes utilisant les deux domaines.

 

 

Un bon vieux rejeu de hash à l’ancienne entre les deux domaines nous permettra d’avoir un premier pied dans le domaine DEV en trouvant un login commun sur les deux domaines ou l’utilisateur a choisi le même mot de passe (simple, basique).

Nous pouvons ensuite nous connecter avec « smbclient » sur ce partage si mystérieux :

Nous constatons le script « deploy_ckdrive.bat » qui semble être utilisé pour déployer une tâche planifiée par un administrateur :

La tache planifiée exécute un script toutes les 5 minutes en tant que SYSTEM.

Le script en question est sur le partage sur lequel nous sommes connectés. Nous avons également les droits d’écritures sur le fichier ! #Happydays

Nous pouvons ainsi élever nos privilèges sur le domaine DEV.

Nous dumpons le ntds comme pour pramafil pour valider le flag.

Nous constatons qu’une relation existe entre les deux. Pramacorp est le domaine Racine de la forêt.

 

 

LIRE LE WRITE-UP PART 5

Actualités & blog

Restez informé des dernières actualités d'Akerva

RESTEZ INFORMÉ DES ACTUALITÉS AKERVA

ABONNEZ-VOUS À NOTRE NEWSLETTER