Force NTLM Privileged Authentication
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
SharpSystemTriggers は、3rd party dependenciesを避けるためにMIDLコンパイラを使用してC#でコーディングされたリモート認証トリガーのコレクションです。
Print Spooler サービスが有効になっている場合、既知のAD資格情報を使用してドメインコントローラーの印刷サーバーに新しい印刷ジョブの更新を要求し、通知を任意のシステムに送信するように指示できます。 プリンターが任意のシステムに通知を送信する際には、そのシステムに対して認証する必要があります。したがって、攻撃者は_Print Spooler_ サービスを任意のシステムに対して認証させることができ、その認証ではコンピュータアカウントが使用されます。
PowerShellを使用して、Windowsボックスのリストを取得します。サーバーは通常優先されるため、そこに焦点を当てましょう:
少し修正された@mysmartlogin(Vincent Le Toux)のSpoolerScannerを使用して、Spoolerサービスがリスニングしているか確認します:
Linux上でrpcdump.pyを使用し、MS-RPRNプロトコルを探すこともできます。
または、Linuxを使用している場合は、3xocyteのdementor.pyまたはprinterbug.pyを使用してください。
攻撃者がすでにUnconstrained Delegationを持つコンピュータを侵害している場合、攻撃者はプリンタをこのコンピュータに対して認証させることができます。制約のない委任のため、プリンタのコンピュータアカウントのTGTは、制約のない委任を持つコンピュータのメモリに保存されます。攻撃者はすでにこのホストを侵害しているため、このチケットを取得し、それを悪用することができます(Pass the Ticket)。
PrivExchange
攻撃は、Exchange ServerのPushSubscription
機能に見つかった欠陥の結果です。この機能により、メールボックスを持つ任意のドメインユーザーがHTTP経由で任意のクライアント提供ホストに対してExchangeサーバーを強制的に認証させることができます。
デフォルトでは、ExchangeサービスはSYSTEMとして実行され、過剰な特権が与えられています(具体的には、2019年以前の累積更新に対するWriteDacl特権を持っています)。この欠陥は、LDAPへの情報の中継を可能にし、その後ドメインNTDSデータベースを抽出するために悪用できます。LDAPへの中継が不可能な場合でも、この欠陥はドメイン内の他のホストに対して中継および認証するために使用できます。この攻撃の成功した悪用は、認証された任意のドメインユーザーアカウントでドメイン管理者への即時アクセスを許可します。
すでにWindowsマシン内にいる場合、特権アカウントを使用してサーバーに接続するようWindowsを強制することができます:
Or use this other technique: https://github.com/p0dalirius/MSSQL-Analysis-Coerce
certutil.exe lolbin(Microsoft署名のバイナリ)を使用してNTLM認証を強制することが可能です:
もしあなたが侵入したいマシンにログインしているユーザーのメールアドレスを知っているなら、1x1画像を含むメールを送ることができます。
そして、彼がそれを開くと、認証を試みるでしょう。
もしあなたがコンピュータに対してMitM攻撃を実行し、彼が視覚化するページにHTMLを注入できるなら、次のような画像をページに注入してみることができます:
NTLMv1チャレンジをキャプチャできる場合は、ここでそれをクラッキングする方法を読んでください。 &#xNAN;RNTLMv1をクラッキングするには、Responderチャレンジを「1122334455667788」に設定する必要があることを忘れないでください
AWSハッキングを学び、練習する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、練習する: HackTricks Training GCP Red Team Expert (GRTE)