Force NTLM Privileged Authentication
Last updated
Last updated
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
SharpSystemTriggers 是一个用 C# 编写的 远程认证触发器 的 集合,使用 MIDL 编译器以避免第三方依赖。
如果 打印后台处理程序 服务 已启用, 您可以使用一些已知的 AD 凭据向域控制器的打印服务器 请求 新打印作业的 更新,并告诉它 将通知发送到某个系统。 请注意,当打印机将通知发送到任意系统时,它需要 对该系统进行认证。因此,攻击者可以使 打印后台处理程序 服务对任意系统进行认证,而该服务将在此认证中 使用计算机账户。
使用 PowerShell 获取 Windows 计算机的列表。服务器通常是优先考虑的,因此我们将重点放在这里:
使用稍微修改过的@mysmartlogin(Vincent Le Toux的)SpoolerScanner,查看Spooler服务是否在监听:
您还可以在Linux上使用rpcdump.py并查找MS-RPRN协议
您可以从这里编译 SpoolSample.
或使用 3xocyte的dementor.py 或 printerbug.py 如果你在Linux上
如果攻击者已经攻陷了一台具有不受限制的委托的计算机,攻击者可以使打印机对该计算机进行身份验证。由于不受限制的委托,打印机的计算机帐户的TGT将被保存在具有不受限制委托的计算机的内存中。由于攻击者已经攻陷了该主机,他将能够检索此票证并加以利用(Pass the Ticket)。
PrivExchange
攻击是由于在Exchange Server PushSubscription
功能中发现的缺陷。该功能允许任何具有邮箱的域用户强制Exchange服务器通过HTTP对任何客户端提供的主机进行身份验证。
默认情况下,Exchange服务以SYSTEM身份运行,并被赋予过多的权限(具体来说,它在2019年之前的累积更新上具有WriteDacl权限)。此缺陷可被利用以启用向LDAP中转信息并随后提取域NTDS数据库。在无法向LDAP中转的情况下,此缺陷仍可用于在域内中转和对其他主机进行身份验证。成功利用此攻击将立即授予任何经过身份验证的域用户帐户对域管理员的访问权限。
如果您已经在Windows机器内部,可以使用以下命令强制Windows使用特权帐户连接到服务器:
或使用另一种技术:https://github.com/p0dalirius/MSSQL-Analysis-Coerce
可以使用 certutil.exe lolbin(微软签名的二进制文件)来强制 NTLM 认证:
如果你知道想要攻陷的机器上用户的 电子邮件地址,你可以直接给他发送一封 带有 1x1 图像 的电子邮件,例如
和当他打开它时,他会尝试进行身份验证。
如果你可以对一台计算机执行MitM攻击并在他可视化的页面中注入HTML,你可以尝试在页面中注入如下图像:
如果你能捕获 NTLMv1 挑战,请阅读如何破解它们。 &#xNAN;R记住,为了破解 NTLMv1,你需要将 Responder 挑战设置为 "1122334455667788"
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)