Force NTLM Privileged Authentication
SharpSystemTriggers
SharpSystemTriggers एक संग्रह है दूरस्थ प्रमाणीकरण ट्रिगर्स का जो C# में MIDL कंपाइलर का उपयोग करके कोडित किया गया है ताकि 3rd पार्टी निर्भरताओं से बचा जा सके।
Spooler Service Abuse
यदि Print Spooler सेवा सक्रिय है, तो आप कुछ पहले से ज्ञात AD क्रेडेंशियल्स का उपयोग करके डोमेन कंट्रोलर के प्रिंट सर्वर से नए प्रिंट जॉब्स पर एक अपडेट अनुरोध कर सकते हैं और बस इसे किसी सिस्टम को सूचना भेजने के लिए कह सकते हैं। ध्यान दें कि जब प्रिंटर किसी मनमाने सिस्टम को सूचना भेजता है, तो इसे उस सिस्टम के खिलाफ प्रमाणित होना आवश्यक है। इसलिए, एक हमलावर Print Spooler सेवा को किसी मनमाने सिस्टम के खिलाफ प्रमाणित करवा सकता है, और सेवा इस प्रमाणीकरण में कंप्यूटर खाता का उपयोग करेगी।
Finding Windows Servers on the domain
PowerShell का उपयोग करके, Windows बॉक्स की एक सूची प्राप्त करें। सर्वर आमतौर पर प्राथमिकता होते हैं, इसलिए आइए वहीं ध्यान केंद्रित करें:
Finding Spooler services listening
थोड़े संशोधित @mysmartlogin के (विन्सेंट ले टॉक्स के) SpoolerScanner का उपयोग करके देखें कि क्या Spooler Service सुन रही है:
आप Linux पर rpcdump.py का उपयोग कर सकते हैं और MS-RPRN प्रोटोकॉल की तलाश कर सकते हैं।
किसी मनमाने होस्ट के खिलाफ सेवा से प्रमाणीकरण करने के लिए कहें
आप SpoolSample को यहाँ से संकलित कर सकते हैं.
या 3xocyte's dementor.py या printerbug.py का उपयोग करें यदि आप Linux पर हैं
Unconstrained Delegation के साथ संयोजन
यदि एक हमलावर पहले से ही Unconstrained Delegation के साथ एक कंप्यूटर को समझौता कर चुका है, तो हमलावर प्रिंटर को इस कंप्यूटर के खिलाफ प्रमाणित करने के लिए मजबूर कर सकता है। अनियंत्रित प्रतिनिधित्व के कारण, प्रिंटर के कंप्यूटर खाते का TGT अनियंत्रित प्रतिनिधित्व वाले कंप्यूटर की मेमोरी में सहेजा जाएगा। चूंकि हमलावर पहले से ही इस होस्ट को समझौता कर चुका है, वह इस टिकट को पुनः प्राप्त करने और इसका दुरुपयोग करने में सक्षम होगा (Pass the Ticket)।
RCP बल प्रमाणीकरण
PrivExchange
PrivExchange
हमला Exchange Server PushSubscription
फीचर में पाए गए दोष का परिणाम है। यह फीचर किसी भी डोमेन उपयोगकर्ता को जो एक मेलबॉक्स रखता है, को किसी भी क्लाइंट-प्रदानित होस्ट पर HTTP के माध्यम से प्रमाणित करने के लिए Exchange सर्वर को मजबूर करने की अनुमति देता है।
डिफ़ॉल्ट रूप से, Exchange सेवा SYSTEM के रूप में चलती है और इसे अत्यधिक विशेषाधिकार दिए जाते हैं (विशेष रूप से, इसके पास डोमेन प्री-2019 संचयी अपडेट पर WriteDacl विशेषाधिकार हैं)। इस दोष का उपयोग LDAP पर जानकारी के पुनः प्रेषण को सक्षम करने और इसके बाद डोमेन NTDS डेटाबेस को निकालने के लिए किया जा सकता है। उन मामलों में जहां LDAP पर पुनः प्रेषण संभव नहीं है, इस दोष का उपयोग डोमेन के भीतर अन्य होस्टों पर पुनः प्रेषण और प्रमाणित करने के लिए किया जा सकता है। इस हमले का सफलतापूर्वक शोषण करने से किसी भी प्रमाणित डोमेन उपयोगकर्ता खाते के साथ डोमेन व्यवस्थापक तक तात्कालिक पहुंच मिलती है।
Windows के अंदर
यदि आप पहले से ही Windows मशीन के अंदर हैं, तो आप विशेषाधिकार प्राप्त खातों का उपयोग करके Windows को एक सर्वर से कनेक्ट करने के लिए मजबूर कर सकते हैं:
Defender MpCmdRun
MSSQL
या इस अन्य तकनीक का उपयोग करें: https://github.com/p0dalirius/MSSQL-Analysis-Coerce
Certutil
NTLM प्रमाणीकरण को मजबूर करने के लिए certutil.exe lolbin (Microsoft-हस्ताक्षरित बाइनरी) का उपयोग करना संभव है:
HTML injection
Via email
यदि आप उस उपयोगकर्ता का ईमेल पता जानते हैं जो उस मशीन में लॉग इन करता है जिसे आप समझौता करना चाहते हैं, तो आप बस उसे एक 1x1 छवि के साथ ईमेल भेज सकते हैं जैसे
और जब वह इसे खोलेगा, तो वह प्रमाणीकरण करने की कोशिश करेगा।
MitM
यदि आप किसी कंप्यूटर पर MitM हमला कर सकते हैं और एक पृष्ठ में HTML इंजेक्ट कर सकते हैं जिसे वह देखेगा, तो आप पृष्ठ में निम्नलिखित की तरह एक छवि इंजेक्ट करने की कोशिश कर सकते हैं:
NTLMv1 को क्रैक करना
यदि आप NTLMv1 चुनौतियों को कैप्चर कर सकते हैं, तो यहां पढ़ें कि उन्हें कैसे क्रैक करें। याद रखें कि NTLMv1 को क्रैक करने के लिए आपको Responder चुनौती को "1122334455667788" पर सेट करना होगा
Last updated