Blog

Part 4 – Compromission du domaine DEV

Il faut ensuite compromettre le domaine de développement « DEV ». Or aucune relation de confiance n’est configurée entre les deux domaines.

La présence d’un raccourci (vers un partage sur le DC DEV) sur le desktop de l’admin nous permet d’imaginer que des interactions ont lieu entre les personnes utilisant les deux domaines.

Un bon vieux rejeu de hash à l’ancienne entre les deux domaines nous permettra d’avoir un premier pied dans le domaine DEV en trouvant un login commun sur les deux domaines ou l’utilisateur a choisi le même mot de passe (simple, basique).

Nous pouvons ensuite nous connecter avec « smbclient » sur ce partage si mystérieux :

Nous constatons le script « deploy_ckdrive.bat » qui semble être utilisé pour déployer une tâche planifiée par un administrateur :

La tache planifiée exécute un script toutes les 5 minutes en tant que SYSTEM.

Le script en question est sur le partage sur lequel nous sommes connectés. Nous avons également les droits d’écritures sur le fichier ! #Happydays

Nous pouvons ainsi élever nos privilèges sur le domaine DEV.

Nous dumpons le ntds comme pour pramafil pour valider le flag.

De plus nous constatons qu’une relation existe entre les deux. Pramacorp est le domaine Racine de la forêt.

LIRE LE WRITE-UP PART 5