search

Enumerating & Retrieving Password Policies

hashtag
Enumerating the Password Policy - from Linux - Credentialed

Attack có thể lấy được domain password policy theo một số cách tùy thuộc vào cách mà domain được configured và có được credentials hợp lệ hay không. Với credentials hợp lệ, password policy có thể lấy được từ CrackMapExecarrow-up-right hoặc rpcclient.

crackmapexec smb 172.16.5.5 -u avazquez -p Password123 --pass-pol
$> crackmapexec smb 172.16.5.5 -u avazquez -p Password123 --pass-pol

SMB         172.16.5.5      445    ACADEMY-EA-DC01  [*] Windows 10.0 Build 17763 x64 (name:ACADEMY-EA-DC01) (domain:INLANEFREIGHT.LOCAL) (signing:True) (SMBv1:False)
SMB         172.16.5.5      445    ACADEMY-EA-DC01  [+] INLANEFREIGHT.LOCAL\avazquez:Password123 
SMB         172.16.5.5      445    ACADEMY-EA-DC01  [+] Dumping password info for domain: INLANEFREIGHT
SMB         172.16.5.5      445    ACADEMY-EA-DC01  Minimum password length: 8
SMB         172.16.5.5      445    ACADEMY-EA-DC01  Password history length: 24
SMB         172.16.5.5      445    ACADEMY-EA-DC01  Maximum password age: Not Set
SMB         172.16.5.5      445    ACADEMY-EA-DC01  
SMB         172.16.5.5      445    ACADEMY-EA-DC01  Password Complexity Flags: 000001
SMB         172.16.5.5      445    ACADEMY-EA-DC01  	Domain Refuse Password Change: 0
SMB         172.16.5.5      445    ACADEMY-EA-DC01  	Domain Password Store Cleartext: 0
SMB         172.16.5.5      445    ACADEMY-EA-DC01  	Domain Password Lockout Admins: 0
SMB         172.16.5.5      445    ACADEMY-EA-DC01  	Domain Password No Clear Change: 0
SMB         172.16.5.5      445    ACADEMY-EA-DC01  	Domain Password No Anon Change: 0
SMB         172.16.5.5      445    ACADEMY-EA-DC01  	Domain Password Complex: 1
SMB         172.16.5.5      445    ACADEMY-EA-DC01  
SMB         172.16.5.5      445    ACADEMY-EA-DC01  Minimum password age: 1 day 4 minutes 
SMB         172.16.5.5      445    ACADEMY-EA-DC01  Reset Account Lockout Counter: 30 minutes 
SMB         172.16.5.5      445    ACADEMY-EA-DC01  Locked Account Duration: 30 minutes 
SMB         172.16.5.5      445    ACADEMY-EA-DC01  Account Lockout Threshold: 5
SMB         172.16.5.5      445    ACADEMY-EA-DC01  Forced Log off Time: Not Set

hashtag
Enumerating the Password Policy - from Linux - SMB NULL Sessions

Nếu không có credentials, attacker có thể lấy password policy qua SMB NULL session hoặc LDAP anonymous. SMB NULL sessions có thể cho phép unauthenticated attacker truy xuất thông tin từ domain chẳng hạn như users, groups, computers, user account attributes và password policy. Các cấu hình sai trong SMB NULL session thường bắt nguồn từ việc các Domain Controller cũ được nâng cấp tại chỗ (in-place upgrade), vô tình kế thừa các insecure configurations vốn tồn tại mặc định trong những version Windows Server đời cũ.

Khi tạo domain từ các version Windows Server cũ, quyền truy cập của anonymous đã được cấp để chia sẻ nhất định cho phép enumirate domain.

Ta có thể sử dụng rpcclient để check domain controller cho SMB NULL session.

hashtag
Using rpcclient

hashtag
Obtaining the Password Policy using rpcclient

hashtag
enum4linuxarrow-up-right

enum4linux arrow-up-rightlà công cụ được build dựa trên Samba suite of toolsarrow-up-right, nmblookup, net, rpcclientsmbclient, sử dụng để enumeration các hosts và domain.

Tool
Ports

nmblookup

137/UDP

nbtstat

137/UDP

net

139/TCP, 135/TCP, TCP/UDP 135 và 49152-65535

rpcclient

135/TCP

smbclient

445/TCP

hashtag
Using enum4linux

enum4linux-ngarrow-up-right được viết lại dựa trên enum4linux với Python, nhưng có thêm các tính năng bổ sung để xuất dữ liệu dạng YAML và JSON.

hashtag
Enumerating Null Session - from Windows

Cách enum này thì không được phổ biến như ta có thể sử dụng lệnh để thiết lập null session từ một máy windows và confirm xem có đi theo hướng này hay không:

hashtag
Success

hashtag
Error: Account is Disabled

hashtag
Error: Password is Incorrect

hashtag
Error: Account is locked out (Password Policy)

hashtag
Enumerating the Password Policy - from Linux - LDAP Anonymous Bind

LDAP anonymous bindsarrow-up-right cho phép unauthenticated attackers có thể truy xuất thông tin từ domain chẳng hạn như users, groups, computers, user account attributes, và password policy. Đây là cấu hình cũ đã tồn tại từ Windows Server 2003, chỉ những authenticated users mới được gọi tới LDAP.

Tuy nhiên, trong thực tế, vẫn có thể gặp cấu hình này nếu quản trị viên (admin) trước đây từng bật nó để phục vụ một ứng dụng hoặc dịch vụ đặc biệt cần truy cập LDAP mà không xác thực. Khi đó, nếu không giới hạn quyền truy cập đúng cách, kẻ tấn công chưa đăng nhập vẫn có thể truy xuất dữ liệu trong Active Directory.

Các tools cho phép enumeration riêng cho LDAP như: windapsearch.py, ldapsearch, ad-ldapdomaindump.py,...

Với ldapsearcharrow-up-right, command để lấy password policy:

hashtag
Enumerating the Password Policy - from Windows

Với Windows, khi attacker đã ở trong 1 máy thuộc domain thì việc truy xuất password policy lại thực sự dễ, với built-in Windows binaries net.exe.

Ngoài ra còn các công cụ khác như: PowerView, CrackMapExec ported to Windows, SharpMapExec, SharpView,...

Việc có được password policy rất hữu ích cho spraying password.

hashtag
PowerView

PasswordComplexity=1 với độ phức tập được bật.

PreviousLLMNR/NBT-NS PoisoningNextPassword Spraying - Making a Target User List

Last updated