Force NTLM Privileged Authentication
SharpSystemTriggers
SharpSystemTriggers ist eine Sammlung von Remote-Authentifizierungs-Triggern, die in C# unter Verwendung des MIDL-Compilers codiert sind, um 3rd Party-Abhängigkeiten zu vermeiden.
Missbrauch des Spooler-Dienstes
Wenn der Print Spooler Dienst aktiviert ist, können Sie einige bereits bekannte AD-Anmeldeinformationen verwenden, um beim Druckserver des Domänencontrollers eine Aktualisierung zu neuen Druckaufträgen anzufordern und ihm einfach zu sagen, dass er die Benachrichtigung an ein beliebiges System senden soll. Beachten Sie, dass der Drucker die Benachrichtigung an beliebige Systeme sendet, er muss sich gegen dieses System authentifizieren. Daher kann ein Angreifer den Print Spooler Dienst dazu bringen, sich gegen ein beliebiges System zu authentifizieren, und der Dienst wird in dieser Authentifizierung das Computer-Konto verwenden.
Finden von Windows-Servern in der Domäne
Verwenden Sie PowerShell, um eine Liste von Windows-Boxen zu erhalten. Server haben normalerweise Priorität, also konzentrieren wir uns darauf:
Finden von Spooler-Diensten, die lauschen
Verwenden Sie einen leicht modifizierten @mysmartlogin's (Vincent Le Toux's) SpoolerScanner, um zu überprüfen, ob der Spooler-Dienst lauscht:
Sie können auch rpcdump.py unter Linux verwenden und nach dem MS-RPRN-Protokoll suchen.
Fordern Sie den Dienst auf, sich gegen einen beliebigen Host zu authentifizieren
Sie können SpoolSample von hier** kompilieren.**
oder verwende 3xocyte's dementor.py oder printerbug.py, wenn du auf Linux bist
Kombination mit Unbeschränkter Delegation
Wenn ein Angreifer bereits einen Computer mit Unbeschränkter Delegation kompromittiert hat, könnte der Angreifer den Drucker zwingen, sich bei diesem Computer zu authentifizieren. Aufgrund der unbeschränkten Delegation wird das TGT des Computerkontos des Druckers im Speicher des Computers mit unbeschränkter Delegation gespeichert. Da der Angreifer bereits diesen Host kompromittiert hat, wird er in der Lage sein, dieses Ticket abzurufen und es auszunutzen (Pass the Ticket).
RCP Zwangs-Authentifizierung
PrivExchange
Der PrivExchange
-Angriff ist das Ergebnis eines Fehlers, der in der Exchange Server PushSubscription
-Funktion gefunden wurde. Diese Funktion ermöglicht es, dass der Exchange-Server von jedem Domänenbenutzer mit einem Postfach gezwungen wird, sich bei jedem vom Client bereitgestellten Host über HTTP zu authentifizieren.
Standardmäßig läuft der Exchange-Dienst als SYSTEM und erhält übermäßige Berechtigungen (insbesondere hat er WriteDacl-Berechtigungen auf der Domäne vor dem kumulativen Update 2019). Dieser Fehler kann ausgenutzt werden, um die Weiterleitung von Informationen zu LDAP zu ermöglichen und anschließend die NTDS-Datenbank der Domäne zu extrahieren. In Fällen, in denen die Weiterleitung zu LDAP nicht möglich ist, kann dieser Fehler dennoch verwendet werden, um sich bei anderen Hosts innerhalb der Domäne weiterzuleiten und zu authentifizieren. Die erfolgreiche Ausnutzung dieses Angriffs gewährt sofortigen Zugriff auf den Domänenadministrator mit jedem authentifizierten Domänenbenutzerkonto.
Innerhalb von Windows
Wenn Sie sich bereits auf der Windows-Maschine befinden, können Sie Windows zwingen, sich mit privilegierten Konten mit folgendem Befehl mit einem Server zu verbinden:
Defender MpCmdRun
MSSQL
Or use this other technique: https://github.com/p0dalirius/MSSQL-Analysis-Coerce
Certutil
Es ist möglich, certutil.exe lolbin (von Microsoft signierte Binärdatei) zu verwenden, um die NTLM-Authentifizierung zu erzwingen:
HTML-Injection
Über E-Mail
Wenn Sie die E-Mail-Adresse des Benutzers kennen, der sich an einer Maschine anmeldet, die Sie kompromittieren möchten, könnten Sie ihm einfach eine E-Mail mit einem 1x1-Bild senden, wie
und wenn er es öffnet, wird er versuchen, sich zu authentifizieren.
MitM
Wenn du einen MitM-Angriff auf einen Computer durchführen und HTML in eine Seite injizieren kannst, die er visualisieren wird, könntest du versuchen, ein Bild wie das folgende in die Seite zu injizieren:
NTLMv1 knacken
Wenn Sie NTLMv1-Herausforderungen erfassen können, lesen Sie hier, wie Sie sie knacken. Denken Sie daran, dass Sie, um NTLMv1 zu knacken, die Responder-Herausforderung auf "1122334455667788" setzen müssen.
Last updated