Force NTLM Privileged Authentication
SharpSystemTriggers
SharpSystemTriggers é uma coleção de gatilhos de autenticação remota codificados em C# usando o compilador MIDL para evitar dependências de terceiros.
Abuso do Serviço de Spooler
Se o Serviço de Spooler de Impressão estiver ativado, você pode usar algumas credenciais AD já conhecidas para solicitar ao servidor de impressão do Controlador de Domínio uma atualização sobre novos trabalhos de impressão e apenas dizer para enviar a notificação para algum sistema. Observe que, quando a impressora envia a notificação para sistemas arbitrários, ela precisa se autenticar contra esse sistema. Portanto, um atacante pode fazer o Serviço de Spooler de Impressão se autenticar contra um sistema arbitrário, e o serviço usará a conta do computador nessa autenticação.
Encontrando Servidores Windows no domínio
Usando PowerShell, obtenha uma lista de máquinas Windows. Servidores geralmente têm prioridade, então vamos focar lá:
Encontrando serviços de Spooler escutando
Usando uma versão ligeiramente modificada do @mysmartlogin (Vincent Le Toux) SpoolerScanner, veja se o Serviço de Spooler está escutando:
Você também pode usar rpcdump.py no Linux e procurar pelo Protocolo MS-RPRN
Peça ao serviço para autenticar contra um host arbitrário
Você pode compilar SpoolSample daqui.
ou use 3xocyte's dementor.py ou printerbug.py se você estiver no Linux
Combinando com Delegação Incontrolada
Se um atacante já comprometeu um computador com Delegação Incontrolada, o atacante poderia fazer a impressora se autenticar contra este computador. Devido à delegação incontrolada, o TGT da conta de computador da impressora será salvo na memória do computador com delegação incontrolada. Como o atacante já comprometeu este host, ele poderá recuperar este ticket e abusar dele (Pass the Ticket).
Autenticação Forçada RCP
PrivExchange
O ataque PrivExchange
é resultado de uma falha encontrada no recurso PushSubscription
do Exchange Server. Este recurso permite que o servidor Exchange seja forçado por qualquer usuário de domínio com uma caixa de correio a se autenticar em qualquer host fornecido pelo cliente via HTTP.
Por padrão, o serviço Exchange é executado como SYSTEM e recebe privilégios excessivos (especificamente, possui privilégios WriteDacl na atualização cumulativa do domínio anterior a 2019). Essa falha pode ser explorada para habilitar o encaminhamento de informações para o LDAP e, subsequentemente, extrair o banco de dados NTDS do domínio. Em casos onde o encaminhamento para o LDAP não é possível, essa falha ainda pode ser usada para encaminhar e autenticar em outros hosts dentro do domínio. A exploração bem-sucedida deste ataque concede acesso imediato ao Admin do Domínio com qualquer conta de usuário autenticada do domínio.
Dentro do Windows
Se você já estiver dentro da máquina Windows, pode forçar o Windows a se conectar a um servidor usando contas privilegiadas com:
Defender MpCmdRun
MSSQL
Ou use esta outra técnica: https://github.com/p0dalirius/MSSQL-Analysis-Coerce
Certutil
É possível usar certutil.exe lolbin (binário assinado pela Microsoft) para forçar a autenticação NTLM:
HTML injection
Via email
Se você souber o endereço de e-mail do usuário que faz login em uma máquina que você deseja comprometer, você pode simplesmente enviar a ele um e-mail com uma imagem 1x1 como
e quando ele o abrir, ele tentará se autenticar.
MitM
Se você puder realizar um ataque MitM a um computador e injetar HTML em uma página que ele visualizar, você pode tentar injetar uma imagem como a seguinte na página:
Quebrando NTLMv1
Se você conseguir capturar desafios NTLMv1 leia aqui como quebrá-los. Lembre-se de que, para quebrar o NTLMv1, você precisa definir o desafio do Responder como "1122334455667788"
Last updated