Force NTLM Privileged Authentication
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
SharpSystemTriggers je kolekcija okidača za daljinsku autentifikaciju kodiranih u C# koristeći MIDL kompajler kako bi se izbegle zavisnosti od trećih strana.
Ako je Print Spooler servis omogućen, možete koristiti neke već poznate AD akreditive da zatražite od štampačkog servera domen kontrolera ažuriranje o novim poslovima štampe i jednostavno mu reći da pošalje obaveštenje nekom sistemu. Napomena: kada štampač pošalje obaveštenje nekom proizvoljnom sistemu, mora da se autentifikuje prema tom sistemu. Stoga, napadač može naterati Print Spooler servis da se autentifikuje prema proizvoljnom sistemu, a servis će koristiti račun računara u ovoj autentifikaciji.
Koristeći PowerShell, dobijte listu Windows mašina. Serveri su obično prioritet, pa se fokusirajmo na njih:
Koristeći malo modifikovani @mysmartlogin-ov (Vincent Le Toux) SpoolerScanner, proverite da li Spooler usluga sluša:
Možete takođe koristiti rpcdump.py na Linux-u i tražiti MS-RPRN protokol.
Možete kompajlirati SpoolSample odavde.
ili koristite 3xocyte's dementor.py ili printerbug.py ako ste na Linuxu
Ako je napadač već kompromitovao računar sa Neograničenom Delegacijom, napadač bi mogao naterati štampač da se autentifikuje protiv ovog računara. Zbog neograničene delegacije, TGT računa računara štampača će biti sačuvan u memoriji računara sa neograničenom delegacijom. Kako je napadač već kompromitovao ovaj host, moći će da izvuče ovu kartu i zloupotrebi je (Pass the Ticket).
Napad PrivExchange
je rezultat greške pronađene u Exchange Server PushSubscription
funkciji. Ova funkcija omogućava da Exchange server bude primoran od strane bilo kog korisnika domena sa poštanskim sandučetom da se autentifikuje na bilo kojem hostu koji obezbeđuje klijent preko HTTP-a.
Podrazumevano, Exchange usluga se pokreće kao SYSTEM i dobija prekomerne privilegije (konkretno, ima WriteDacl privilegije na domen pre-2019 Kumulativno Ažuriranje). Ova greška se može iskoristiti za omogućavanje preusmeravanja informacija na LDAP i naknadno vađenje NTDS baze podataka domena. U slučajevima kada preusmeravanje na LDAP nije moguće, ova greška se i dalje može koristiti za preusmeravanje i autentifikaciju na druge hostove unutar domena. Uspešna eksploatacija ovog napada omogućava trenutni pristup Administratoru Domena sa bilo kojim autentifikovanim korisničkim računom domena.
Ako ste već unutar Windows mašine, možete naterati Windows da se poveže sa serverom koristeći privilegovane naloge sa:
Ili koristite ovu drugu tehniku: https://github.com/p0dalirius/MSSQL-Analysis-Coerce
Moguće je koristiti certutil.exe lolbin (Microsoft-ov potpisani binarni fajl) za primoravanje NTLM autentifikacije:
Ako znate email adresu korisnika koji se prijavljuje na mašinu koju želite da kompromitujete, možete mu jednostavno poslati email sa 1x1 slikom kao što je
i kada ga otvori, pokušaće da se autentifikuje.
Ako možete da izvršite MitM napad na računar i ubacite HTML u stranicu koju će vizualizovati, mogli biste pokušati da ubacite sliku poput sledeće u stranicu:
Ako možete uhvatiti NTLMv1 izazove pročitajte ovde kako ih probiti. &#xNAN;Remite da je potrebno postaviti Responder izazov na "1122334455667788"
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)