Force NTLM Privileged Authentication
Last updated
Last updated
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
SharpSystemTriggers è una collezione di trigger di autenticazione remota codificati in C# utilizzando il compilatore MIDL per evitare dipendenze di terze parti.
Se il servizio Print Spooler è abilitato, puoi utilizzare alcune credenziali AD già note per richiedere al server di stampa del Domain Controller un aggiornamento sui nuovi lavori di stampa e semplicemente dirgli di inviare la notifica a un sistema arbitrario. Nota che quando la stampante invia la notifica a sistemi arbitrari, deve autenticarsi contro quel sistema. Pertanto, un attaccante può far sì che il servizio Print Spooler si autentichi contro un sistema arbitrario, e il servizio utilizzerà l'account del computer in questa autenticazione.
Utilizzando PowerShell, ottieni un elenco di macchine Windows. I server sono solitamente una priorità, quindi concentriamoci lì:
Utilizzando un @mysmartlogin (Vincent Le Toux) leggermente modificato SpoolerScanner, verifica se il Servizio Spooler è in ascolto:
Puoi anche usare rpcdump.py su Linux e cercare il protocollo MS-RPRN.
Puoi compilare SpoolSample da qui.
o usa dementor.py di 3xocyte o printerbug.py se sei su Linux
Se un attaccante ha già compromesso un computer con Delegazione Illimitata, l'attaccante potrebbe far autenticare la stampante contro questo computer. A causa della delegazione illimitata, il TGT dell'account computer della stampante sarà salvato in memoria del computer con delegazione illimitata. Poiché l'attaccante ha già compromesso questo host, sarà in grado di recuperare questo ticket e abusarne (Pass the Ticket).
L'attacco PrivExchange
è il risultato di un difetto trovato nella funzione PushSubscription
di Exchange Server. Questa funzione consente al server Exchange di essere forzato da qualsiasi utente di dominio con una casella di posta ad autenticarsi su qualsiasi host fornito dal client tramite HTTP.
Per impostazione predefinita, il servizio Exchange viene eseguito come SYSTEM e ha privilegi eccessivi (specificamente, ha privilegi WriteDacl sull'aggiornamento cumulativo del dominio pre-2019). Questo difetto può essere sfruttato per abilitare il rilascio di informazioni a LDAP e successivamente estrarre il database NTDS del dominio. Nei casi in cui il rilascio a LDAP non sia possibile, questo difetto può comunque essere utilizzato per rilasciare e autenticarsi su altri host all'interno del dominio. Lo sfruttamento riuscito di questo attacco concede accesso immediato all'Amministratore di Dominio con qualsiasi account utente di dominio autenticato.
Se sei già all'interno della macchina Windows, puoi forzare Windows a connettersi a un server utilizzando account privilegiati con:
Or use this other technique: https://github.com/p0dalirius/MSSQL-Analysis-Coerce
È possibile utilizzare certutil.exe lolbin (binary firmato da Microsoft) per forzare l'autenticazione NTLM:
Se conosci l'indirizzo email dell'utente che accede a una macchina che vuoi compromettere, potresti semplicemente inviargli un'email con un'immagine 1x1 come
e quando lo apre, cercherà di autenticarsi.
Se puoi eseguire un attacco MitM su un computer e iniettare HTML in una pagina che visualizzerà, potresti provare a iniettare un'immagine come la seguente nella pagina:
Se riesci a catturare le sfide NTLMv1 leggi qui come crackerle. &#xNAN;Ricorda che per crackare NTLMv1 devi impostare la sfida di Responder su "1122334455667788"
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)