Force NTLM Privileged Authentication
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
SharpSystemTriggers είναι μια συλλογή από απομακρυσμένα triggers αυθεντικοποίησης κωδικοποιημένα σε C# χρησιμοποιώντας τον μεταγλωττιστή MIDL για την αποφυγή εξαρτήσεων από τρίτους.
Εάν η Υπηρεσία Spooler Εκτύπωσης είναι ενεργοποιημένη, μπορείτε να χρησιμοποιήσετε κάποιες ήδη γνωστές διαπιστεύσεις AD για να ζητήσετε από τον εκτυπωτή του Domain Controller μια ενημέρωση για νέες εκτυπώσεις και απλώς να του πείτε να στείλει την ειδοποίηση σε κάποιο σύστημα. Σημειώστε ότι όταν ο εκτυπωτής στέλνει την ειδοποίηση σε τυχαία συστήματα, χρειάζεται να αυθεντικοποιηθεί σε αυτό το σύστημα. Επομένως, ένας επιτιθέμενος μπορεί να κάνει την υπηρεσία Spooler Εκτύπωσης να αυθεντικοποιηθεί σε ένα τυχαίο σύστημα, και η υπηρεσία θα χρησιμοποιήσει τον λογαριασμό υπολογιστή σε αυτή την αυθεντικοποίηση.
Χρησιμοποιώντας το PowerShell, αποκτήστε μια λίστα με Windows υπολογιστές. Οι διακομιστές είναι συνήθως προτεραιότητα, οπότε ας επικεντρωθούμε εκεί:
Χρησιμοποιώντας μια ελαφρώς τροποποιημένη έκδοση του @mysmartlogin (Vincent Le Toux) SpoolerScanner, δείτε αν η Υπηρεσία Spooler ακούει:
Μπορείτε επίσης να χρησιμοποιήσετε το rpcdump.py σε Linux και να αναζητήσετε το πρωτόκολλο MS-RPRN.
Μπορείτε να συντάξετε SpoolSample από εδώ.
ή χρησιμοποιήστε 3xocyte's dementor.py ή printerbug.py αν είστε σε Linux
Εάν ένας επιτιθέμενος έχει ήδη παραβιάσει έναν υπολογιστή με Απεριόριστη Αντιπροσώπευση, ο επιτιθέμενος θα μπορούσε να κάνει τον εκτυπωτή να πιστοποιηθεί σε αυτόν τον υπολογιστή. Λόγω της απεριόριστης αντιπροσώπευσης, το TGT του λογαριασμού υπολογιστή του εκτυπωτή θα είναι αποθηκευμένο στη μνήμη του υπολογιστή με απεριόριστη αντιπροσώπευση. Καθώς ο επιτιθέμενος έχει ήδη παραβιάσει αυτήν την υποδοχή, θα είναι σε θέση να ανακτήσει αυτό το εισιτήριο και να το εκμεταλλευτεί (Pass the Ticket).
Η επίθεση PrivExchange
είναι αποτέλεσμα ενός σφάλματος που βρέθηκε στη λειτουργία PushSubscription
του Exchange Server. Αυτή η λειτουργία επιτρέπει στον διακομιστή Exchange να αναγκάζεται από οποιονδήποτε χρήστη τομέα με γραμματοκιβώτιο να πιστοποιείται σε οποιονδήποτε πελάτη που παρέχει υποδοχή μέσω HTTP.
Από προεπιλογή, η υπηρεσία Exchange εκτελείται ως SYSTEM και της έχουν δοθεί υπερβολικά δικαιώματα (συγκεκριμένα, έχει WriteDacl δικαιώματα στον τομέα πριν από την ενημέρωση Cumulative Update 2019). Αυτό το σφάλμα μπορεί να εκμεταλλευτεί για να επιτρέψει την αναμετάδοση πληροφοριών σε LDAP και στη συνέχεια να εξαγάγει τη βάση δεδομένων NTDS του τομέα. Σε περιπτώσεις όπου η αναμετάδοση σε LDAP δεν είναι δυνατή, αυτό το σφάλμα μπορεί να χρησιμοποιηθεί για να αναμεταδώσει και να πιστοποιηθεί σε άλλες υποδοχές εντός του τομέα. Η επιτυχής εκμετάλλευση αυτής της επίθεσης παρέχει άμεση πρόσβαση στον Διαχειριστή Τομέα με οποιονδήποτε πιστοποιημένο λογαριασμό χρήστη τομέα.
Εάν είστε ήδη μέσα στη μηχανή Windows, μπορείτε να αναγκάσετε τα Windows να συνδεθούν σε έναν διακομιστή χρησιμοποιώντας προνομιακούς λογαριασμούς με:
Ή χρησιμοποιήστε αυτήν την άλλη τεχνική: https://github.com/p0dalirius/MSSQL-Analysis-Coerce
Είναι δυνατόν να χρησιμοποιήσετε το certutil.exe lolbin (υπογεγραμμένο από τη Microsoft δυαδικό) για να εξαναγκάσετε την αυθεντικοποίηση NTLM:
Αν γνωρίζετε τη διεύθυνση email του χρήστη που συνδέεται σε μια μηχανή που θέλετε να παραβιάσετε, μπορείτε απλά να του στείλετε ένα email με μια εικόνα 1x1 όπως
και όταν το ανοίξει, θα προσπαθήσει να αυθεντικοποιηθεί.
Αν μπορείτε να εκτελέσετε μια επίθεση MitM σε έναν υπολογιστή και να εισάγετε HTML σε μια σελίδα που θα οπτικοποιήσει, θα μπορούσατε να προσπαθήσετε να εισάγετε μια εικόνα όπως η παρακάτω στη σελίδα:
Αν μπορείτε να συλλάβετε NTLMv1 challenges διαβάστε εδώ πώς να τα σπάσετε. &#xNAN;Remember ότι για να σπάσετε το NTLMv1 πρέπει να ορίσετε την πρόκληση του Responder σε "1122334455667788"
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)