Как утащить админа с ДК?

[gentlehackerz]

Есть впн доступ юзера.
На ДК внезапно видна папка windows (оттуда были утащены config/ файлы, но там был только хэш локального админа почему-то, он ничем не помог, забрутить тоже не удалось), sysvol.
Никаких РДП нет.
Соответственно в какую сторону смотреть - что (или лучше куда/на что) можно посеять в windows (с неполным доступом) чтобы например утащить хэш доменного админа? Или может в какую другую сторону посмотреть?

P.S.: с помощью ntlm локального админа - можно получить полный доступ к windows папке?
Почему-то запуск cmd из mimkatz с ntlm хэшем не дает полного доступа - хотя по логике должен же?

 

[USA_Straday]

зайди с ntlm локального админа через impacket инструменты

 

[sect adept]

Ну в теории если есть локальный админ на DC, то и DA у тебя в руках, если не ошибаюсь

 

[gentlehackerz]

Ну в теории если есть локальный админ на DC, то и DA у тебя в руках, если не ошибаюсь

вот именно, что в теории)
на практике чет не выходит

 

[sect adept]

вот именно, что в теории)
на практике чет не выходит

Как выше товарищ сказал, попробуй через smbexec, wmiexec и так далее в Impacket зайти. Pass-the-hash сделай на другие тачки попробуй

 

[gentlehackerz]

Pass-the-hash сделай на другие тачки попробуй

это уже

 

[sect adept]

Пробуй тогда impacket. Еще вариант, что хеш мог устареть?

 

[gentlehackerz]

Пробуй тогда impacket. Еще вариант, что хеш мог устареть?

наверное всегда есть, наверняка не знаю

 

[MinerMario]

сними дамп хэшей через nopack или через cme

 

[gentlehackerz]

сними дамп хэшей через nopack или через cme

так я не на машине, у меня доступ только через шару

Как выше товарищ сказал, попробуй через smbexec, wmiexec и так далее в Impacket зайти. Pass-the-hash сделай на другие тачки попробуй

не, все мимо
правда не понимаю почему.
Есть пара снятых хэшей - по идее они активны до смены пароля.
может синтаксис какой особенный учитывая, что админ локальный - перепробовал все варианты, которые придумал

 

[Эрмано]

Пробовал поспрейить хеш по сетке? Может это вообще хеш не из этой сети/не админа + возможно он как ханипот работает

 

[warpedwater]

Тык если это dc, в дире Windows должен быть ntds.dit, тащишь его вместе с конфигами, локально расшифровуешь - у тебя хеши всех домен юсеров, если его нет, возможно это и не дк вовсе, если на этой тачке уже локаладмин, дёргай lsa, если она в домене там по крайней мере будет машинная учётка самой тачки, хотя бы какой то юсер в домене, можно уже в ldap ходить или с реле развлекаться например. Ну и да, можно попробовать этот хеш к другим локальным админам на других тачках.

 

[gentlehackerz]

Пробовал поспрейить хеш по сетке? Может это вообще хеш не из этой сети/не админа + возможно он как ханипот работает

пробовал

это уже

 

[sect adept]

Тык если это dc, в дире Windows должен быть ntds.dit, тащишь его вместе с конфигами, локально расшифровуешь - у тебя хеши всех домен юсеров, если его нет, возможно это и не дк вовсе, если на этой тачке уже локаладмин, дёргай lsa, если она в домене там по крайней мере будет машинная учётка самой тачки, хотя бы какой то юсер в домене, можно уже в ldap ходить или с реле развлекаться например. Ну и да, можно попробовать этот хеш к другим локальным админам на других тачках.

так он просто так не вытащит, ибо файлы заняты, если не путаю ничего

 

[warpedwater]

так он просто так не вытащит, ибо файлы заняты, если не путаю ничего

не уверен до конца, может именно с этим файлом не так, но скопировать можно даже если файл используется другими процессами, только админ права нужны как для SAM SECURITY SYSTEM

 

[MinerMario]

вообще тогда вопросик какие у него права на DC (если он говорит что доступ только в шару, есть ли у него права на чтение и запись на диске С$, ибо условный доступ только к определенным папкам может быть тогда не будет доступа на чтение диска С$, тогда ntds.dit он и не вытащит)

так я не на машине, у меня доступ только через шару

В этом случае тебе не нужно иметь прямого доступа на тачку, главное чтоб права подходили. Ты бы просто предоставил чуть больше инофрмации в виде скринов (замазать что приватно),тогда ситуация была бы яснее

 

[gentlehackerz]

вообще тогда вопросик какие у него права на DC (если он говорит что доступ только в шару, есть ли у него права на чтение и запись на диске С$, ибо условный доступ только к определенным папкам может быть тогда не будет доступа на чтение диска С$, тогда ntds.dit он и не вытащит)

В этом случае тебе не нужно иметь прямого доступа на тачку, главное чтоб права подходили. Ты бы просто предоставил чуть больше инофрмации в виде скринов (замазать что приватно),тогда ситуация была бы яснее

а что скринить то? папку windows?)

 

[gentlehackerz]

Я кстати тупанул немного - нет у меня локального админа на ДК)
Соответственно только юзерский доступ - вопрос что можно засунуть с ним в папку

 

[travamurava]

Попробуй ZEROLOGONом пробить контроллер, для этого не нужно прав от слова совсем (https://github.com/dirkjanm/CVE-2020-1472), этот репозиторий точно рабочий
А если нет то выше очень верно советовали noPAC, но там чуть посложнее. А если тачек в домене присутствует достаточно можно и на МС17 прогнать все, авось 2003-2008 сервер попадётся там и ДА найдётся.

 

[CopiLeft]

Я кстати тупанул немного - нет у меня локального админа на ДК)
Соответственно только юзерский доступ - вопрос что можно засунуть с ним в папку

смотришь версию ОС, смотришь обновы и идешь искать LPE, либо чекаешь может твой локальный аккаунт еще подойдет к какому-то из сети а там права будут что бы хотя бы доменного юзера взять и так далее. бл#ть миллионы возможностей есть по поднятию прав, но отталкиваться нужно от системы что у тебя там стоит?