Force NTLM Privileged Authentication
SharpSystemTriggers
SharpSystemTriggers is 'n versameling van afgeleë autentikasie triggers wat in C# gekodeer is met behulp van die MIDL-kompiler om 3departy afhanklikhede te vermy.
Spooler Service Abuse
As die Print Spooler diens geaktiveer is, kan jy 'n paar reeds bekende AD-akkrediteerings gebruik om 'n versoek aan die Domeinbeheerder se drukbediener te doen vir 'n opdatering oor nuwe drukwerk en net vir dit te sê om die kennisgewing na 'n stelsel te stuur. Let daarop dat wanneer die drukker die kennisgewing na 'n arbitrêre stelsels stuur, dit moet autentiseer teen daardie stelsel. Daarom kan 'n aanvaller die Print Spooler diens laat autentiseer teen 'n arbitrêre stelsel, en die diens sal die rekenaarrekening in hierdie autentisering gebruik.
Finding Windows Servers on the domain
Gebruik PowerShell om 'n lys van Windows bokse te kry. Bedieners is gewoonlik prioriteit, so kom ons fokus daar:
Vind Spooler dienste wat luister
Gebruik 'n effens aangepaste @mysmartlogin se (Vincent Le Toux se) SpoolerScanner, kyk of die Spooler Diens luister:
U kan ook rpcdump.py op Linux gebruik en soek na die MS-RPRN Protokol
Vra die diens om teen 'n arbitrêre gasheer te verifieer
Jy kan SpoolSample hier van** saamstel.**
of gebruik 3xocyte se dementor.py of printerbug.py as jy op Linux is
Kombinasie met Onbeperkte Delegasie
As 'n aanvaller reeds 'n rekenaar met Onbeperkte Delegasie gecompromitteer het, kan die aanvaller die printer laat outentiseer teen hierdie rekenaar. As gevolg van die onbeperkte delegasie, sal die TGT van die rekenaarrekening van die printer in die geheue van die rekenaar met onbeperkte delegasie gestoor word. Aangesien die aanvaller hierdie gasheer reeds gecompromitteer het, sal hy in staat wees om hierdie kaartjie te onttrek en dit te misbruik (Pass the Ticket).
RCP Force outentisering
PrivExchange
Die PrivExchange aanval is 'n gevolg van 'n fout wat in die Exchange Server PushSubscription kenmerk gevind is. Hierdie kenmerk laat die Exchange-server toe om deur enige domein gebruiker met 'n posbus gedwing te word om aan enige kliënt-gelewer gasheer oor HTTP te outentiseer.
Standaard loop die Exchange diens as SYSTEM en word dit oorgenoeg bevoegdhede gegee (specifiek, dit het WriteDacl bevoegdhede op die domein voor-2019 Kumulatiewe Opdatering). Hierdie fout kan misbruik word om die oorplasing van inligting na LDAP moontlik te maak en gevolglik die domein NTDS databasis te onttrek. In gevalle waar oorplasing na LDAP nie moontlik is nie, kan hierdie fout steeds gebruik word om oor te plaas en aan ander gasheer binne die domein te outentiseer. Die suksesvolle misbruik van hierdie aanval bied onmiddellike toegang tot die Domein Admin met enige geoutentiseerde domein gebruiker rekening.
Binne Windows
As jy reeds binne die Windows masjien is, kan jy Windows dwing om met 'n bediener te verbind deur gebruik te maak van bevoorregte rekeninge met:
Defender MpCmdRun
MSSQL
Of gebruik hierdie ander tegniek: https://github.com/p0dalirius/MSSQL-Analysis-Coerce
Certutil
Dit is moontlik om certutil.exe lolbin (Microsoft-onderteken binêre) te gebruik om NTLM-outeentisering te dwing:
HTML-inspuiting
Deur e-pos
As jy die e-posadres van die gebruiker wat binne 'n masjien aanmeld wat jy wil kompromitteer, ken, kan jy net vir hom 'n e-pos met 'n 1x1 beeld stuur soos
en wanneer hy dit oopmaak, sal hy probeer om te autentiseer.
MitM
As jy 'n MitM-aanval op 'n rekenaar kan uitvoer en HTML in 'n bladsy kan inspuit wat hy sal visualiseer, kan jy probeer om 'n beeld soos die volgende in die bladsy in te spuit:
Krake NTLMv1
As jy NTLMv1 uitdagings kan vang, lees hier hoe om hulle te krake. Onthou dat jy Responder-uitdaging moet stel op "1122334455667788" om NTLMv1 te krake.
Last updated
