Force NTLM Privileged Authentication
SharpSystemTriggers
SharpSystemTriggers είναι μια συλλογή από απομακρυσμένα triggers αυθεντικοποίησης κωδικοποιημένα σε C# χρησιμοποιώντας τον μεταγλωττιστή MIDL για να αποφευχθούν οι εξαρτήσεις τρίτων.
Spooler Service Abuse
Εάν η υπηρεσία Print Spooler είναι ενεργοποιημένη, μπορείτε να χρησιμοποιήσετε κάποιες ήδη γνωστές διαπιστεύσεις AD για να ζητήσετε από τον εκτυπωτή του Domain Controller μια ενημέρωση για νέες εκτυπώσεις και απλώς να του πείτε να στείλει την ειδοποίηση σε κάποιο σύστημα. Σημειώστε ότι όταν ο εκτυπωτής στέλνει την ειδοποίηση σε τυχαία συστήματα, χρειάζεται να αυθεντικοποιηθεί σε αυτό το σύστημα. Επομένως, ένας επιτιθέμενος μπορεί να κάνει την υπηρεσία Print Spooler να αυθεντικοποιηθεί σε ένα τυχαίο σύστημα, και η υπηρεσία θα χρησιμοποιήσει τον λογαριασμό υπολογιστή σε αυτή την αυθεντικοποίηση.
Finding Windows Servers on the domain
Χρησιμοποιώντας το PowerShell, αποκτήστε μια λίστα με Windows συσκευές. Οι διακομιστές είναι συνήθως προτεραιότητα, οπότε ας επικεντρωθούμε εκεί:
Finding Spooler services listening
Χρησιμοποιώντας μια ελαφρώς τροποποιημένη έκδοση του @mysmartlogin (Vincent Le Toux) SpoolerScanner, δείτε αν η Υπηρεσία Spooler ακούει:
Μπορείτε επίσης να χρησιμοποιήσετε το rpcdump.py σε Linux και να αναζητήσετε το πρωτόκολλο MS-RPRN.
Ζητήστε από την υπηρεσία να πιστοποιηθεί έναντι ενός αυθαίρετου διακομιστή
Μπορείτε να συντάξετε SpoolSample από εδώ.
ή χρησιμοποιήστε 3xocyte's dementor.py ή printerbug.py αν είστε σε Linux
Συνδυασμός με Απεριόριστη Αντιπροσώπευση
Εάν ένας επιτιθέμενος έχει ήδη παραβιάσει έναν υπολογιστή με Απεριόριστη Αντιπροσώπευση, ο επιτιθέμενος θα μπορούσε να κάνει τον εκτυπωτή να πιστοποιηθεί σε αυτόν τον υπολογιστή. Λόγω της απεριόριστης αντιπροσώπευσης, το TGT του λογαριασμού υπολογιστή του εκτυπωτή θα είναι αποθηκευμένο στη μνήμη του υπολογιστή με απεριόριστη αντιπροσώπευση. Καθώς ο επιτιθέμενος έχει ήδη παραβιάσει αυτήν τη φιλοξενία, θα είναι σε θέση να ανακτήσει αυτό το εισιτήριο και να το εκμεταλλευτεί (Pass the Ticket).
RCP Force authentication
PrivExchange
Η επίθεση PrivExchange
είναι αποτέλεσμα ενός σφάλματος που βρέθηκε στη λειτουργία PushSubscription
του Exchange Server. Αυτή η λειτουργία επιτρέπει στον διακομιστή Exchange να αναγκάζεται από οποιονδήποτε χρήστη τομέα με γραμματοκιβώτιο να πιστοποιείται σε οποιονδήποτε πελάτη που παρέχει φιλοξενία μέσω HTTP.
Από προεπιλογή, η υπηρεσία Exchange εκτελείται ως SYSTEM και της παρέχονται υπερβολικά δικαιώματα (συγκεκριμένα, έχει WriteDacl δικαιώματα στον τομέα πριν από την ενημέρωση Cumulative Update 2019). Αυτό το σφάλμα μπορεί να εκμεταλλευτεί για να επιτρέψει την αναμετάδοση πληροφοριών σε LDAP και στη συνέχεια να εξάγει τη βάση δεδομένων NTDS του τομέα. Σε περιπτώσεις όπου η αναμετάδοση σε LDAP δεν είναι δυνατή, αυτό το σφάλμα μπορεί να χρησιμοποιηθεί για να αναμεταδώσει και να πιστοποιηθεί σε άλλες φιλοξενίες εντός του τομέα. Η επιτυχής εκμετάλλευση αυτής της επίθεσης παρέχει άμεση πρόσβαση στον Διαχειριστή Τομέα με οποιονδήποτε πιστοποιημένο λογαριασμό χρήστη τομέα.
Μέσα στα Windows
Εάν είστε ήδη μέσα στη μηχανή Windows, μπορείτε να αναγκάσετε τα Windows να συνδεθούν σε έναν διακομιστή χρησιμοποιώντας προνομιακούς λογαριασμούς με:
Defender MpCmdRun
MSSQL
Ή χρησιμοποιήστε αυτήν την άλλη τεχνική: https://github.com/p0dalirius/MSSQL-Analysis-Coerce
Certutil
Είναι δυνατόν να χρησιμοποιήσετε το certutil.exe lolbin (υπογεγραμμένο από τη Microsoft εκτελέσιμο) για να εξαναγκάσετε την αυθεντικοποίηση NTLM:
HTML injection
Via email
If you know the email address of the user that logs inside a machine you want to compromise, you could just send him an email with a 1x1 image such as αν γνωρίζετε τη διεύθυνση email του χρήστη που συνδέεται σε μια μηχανή που θέλετε να παραβιάσετε, μπορείτε απλώς να του στείλετε ένα email με μια εικόνα 1x1 όπως
και όταν το ανοίξει, θα προσπαθήσει να αυθεντικοποιηθεί.
MitM
Αν μπορείτε να εκτελέσετε μια επίθεση MitM σε έναν υπολογιστή και να εισάγετε HTML σε μια σελίδα που θα οπτικοποιήσει, θα μπορούσατε να προσπαθήσετε να εισάγετε μια εικόνα όπως η παρακάτω στη σελίδα:
Cracking NTLMv1
Αν μπορείτε να συλλάβετε NTLMv1 challenges διαβάστε εδώ πώς να τα σπάσετε. Θυμηθείτε ότι για να σπάσετε το NTLMv1 πρέπει να ορίσετε την πρόκληση του Responder σε "1122334455667788"
Last updated