Всем привет!
Застрял на одной сети, ситуация следующая:
- Есть учетка юзера
- Как юзер могу ходить на дц
- Дц и несколько сервисных тачек (exchange серверы или старые тачки с win 7 например) уязвимы к Coerce, PrintNightmare, Printerbug атакам
- В сети нет ADCS, поэтому данный вектор отсутствует
Смог собрать бх, лдап отдельно, перехватить пару NTLM хэшей при помощи Relay атак, но с самих тачек хэши снять еще не могу - нет ни на одной тачке доступа под локальным админом.
Успешно перехватываю хэш из релей атаки, т.к. дц и еще несколько сервисных машин уязвимы к coerce атакам вроде petitpotam, dfscoerce, но сам хэш ничего не стоит.
Цель: оптимистично - снять хэши с дц, пессимистично - двигаться крабом и достать учетку локального админа на любой тачке в домене
Вопрос: В какую сторону можно еще двигаться дальше?
Что пробовал:
1. Различные способы релея - у дц включена подпись (signing: true), поэтому релей даже с Drop MIC не работает в моем случае
2. В дополнение к релею - перехватил хэш дц респондером, но это Net-NTLMv2, соответственно Pass The Hash провести не могу
3. Пробовал эксплуатировать PrintNightmare - не вышло, хотя один сплоит сработал, но по фактически юзер либо не создался (грузил дллку на создание нового юзера), либо я упустил что-то еще. На локальной тачке дллка отрабатывает. Другой сплоит вообще положил сервис rpc и теперь как минимум 3 тачки закрылись для этого вектора.
4. Пробовал эксплуатировать Printerbug - хотя это по итогу тот же релей
5. Пробовал анонимно ходить по smb - безуспешно
6. Пробовал password spraying - безуспешно
7. Пробовал kerberoasting - безуспешно
8. ADCS - пусто
9. Webdav - пусто
Дополнительный вопрос 1:
Когда в ntlmrelayx прилетает учетка, почему может быть кейс что на ней нет прав? Прилетает хэш, открывается шелл, но фактически я ничего не могу делать, получаю rpc_access_denied при любом write действии, хотя учетка на вид сервисная и ранее в других сетях хэш такой учетки имел неплохой вес - удавалось достать его через ADCS и имперсонатиться под ним на дц, снимая оттуда хэши.
Дополнительный вопрос 2:
Почему может прилететь учетка, под которой невозможен релей - ntlmrelayx пишет что-то вроде ```Authentication against domain\user FAILED``` - хотя по логике вещей, раз я принуждаю девайс авторизоваться на моем сервере - это делает некая сервисная учетка, которую еще можно снять.
Застрял на одной сети, ситуация следующая:
- Есть учетка юзера
- Как юзер могу ходить на дц
- Дц и несколько сервисных тачек (exchange серверы или старые тачки с win 7 например) уязвимы к Coerce, PrintNightmare, Printerbug атакам
- В сети нет ADCS, поэтому данный вектор отсутствует
Смог собрать бх, лдап отдельно, перехватить пару NTLM хэшей при помощи Relay атак, но с самих тачек хэши снять еще не могу - нет ни на одной тачке доступа под локальным админом.
Успешно перехватываю хэш из релей атаки, т.к. дц и еще несколько сервисных машин уязвимы к coerce атакам вроде petitpotam, dfscoerce, но сам хэш ничего не стоит.
Цель: оптимистично - снять хэши с дц, пессимистично - двигаться крабом и достать учетку локального админа на любой тачке в домене
Вопрос: В какую сторону можно еще двигаться дальше?
Что пробовал:
1. Различные способы релея - у дц включена подпись (signing: true), поэтому релей даже с Drop MIC не работает в моем случае
2. В дополнение к релею - перехватил хэш дц респондером, но это Net-NTLMv2, соответственно Pass The Hash провести не могу
3. Пробовал эксплуатировать PrintNightmare - не вышло, хотя один сплоит сработал, но по фактически юзер либо не создался (грузил дллку на создание нового юзера), либо я упустил что-то еще. На локальной тачке дллка отрабатывает. Другой сплоит вообще положил сервис rpc и теперь как минимум 3 тачки закрылись для этого вектора.
4. Пробовал эксплуатировать Printerbug - хотя это по итогу тот же релей
5. Пробовал анонимно ходить по smb - безуспешно
6. Пробовал password spraying - безуспешно
7. Пробовал kerberoasting - безуспешно
8. ADCS - пусто
9. Webdav - пусто
Дополнительный вопрос 1:
Когда в ntlmrelayx прилетает учетка, почему может быть кейс что на ней нет прав? Прилетает хэш, открывается шелл, но фактически я ничего не могу делать, получаю rpc_access_denied при любом write действии, хотя учетка на вид сервисная и ранее в других сетях хэш такой учетки имел неплохой вес - удавалось достать его через ADCS и имперсонатиться под ним на дц, снимая оттуда хэши.
Дополнительный вопрос 2:
Почему может прилететь учетка, под которой невозможен релей - ntlmrelayx пишет что-то вроде ```Authentication against domain\user FAILED``` - хотя по логике вещей, раз я принуждаю девайс авторизоваться на моем сервере - это делает некая сервисная учетка, которую еще можно снять.
Последнее редактирование:
