[net-hacking] Вопросы по сетям

[downshifter]

Доброго времени суток, форумчане.

Ситуация: Нашел язву zyxel firewall rce (CVE-2022-30525) в ZYXEL USG FLEX-50 VPN, это какая то энтерпрайз компания, не суть.
Эскплоитировал через метасплоит, вплоть до повышения привилегий (RCE + LPE to root)

После получения рута, тормознул и задался вопросом - как мне попасть во внутренню сетку через сам впн закселя? Уже для последуещего сканирования и эксплотации АД.

P.S я пробовал залить бинарник нпама, ибо там стоял докер и просканить те устройства, что к закселю подключены, но что-то не вышло.
Буду благодарен за каждый ответ.

 

[kiloton]

P.S я пробовал залить бинарник нпама, ибо там стоял докер и просканить те устройства, что к закселю подключены, но что-то не вышло.

А подробнее? что именно не сработало? можно просто поднять там сокс или реверс ssh тунель, а весь арсенал использовать локально через проброс.
Тянуть свои утилиты в сетку на фаерволл это наркомания.

 

[kamzzzzz]

Столкнулись с интересной штукой, при заходе от ДА на хосты по РДП задает доп вопросики на стандартной страничке логона, при каждом конекте разные, причем это очень интересно реализовано типа таблички морского боя, вопрос "А1 B2 C3" и нужно ввести ответ, очевидно что эта табличка распечатана у админа перед ПК и он может легко сориентироваться на том что написано в каждой из этоих клеток и написать ответ.
Внимание вопрос, как это реализованно в ГПО?

 

[kiloton]

Ответ: Магией вроде tgt токенами и золотыми тикетами вы не ходите по системе?
Вот и будете играть в "морской бой" пока ваша цель будет - AD. А надо смотреть в перископ.

 

[kamzzzzz]

Ответ: Магией вроде tgt токенами и золотыми тикетами вы не ходите по системе?
Вот и будете играть в "морской бой" пока ваша цель будет - AD. А надо смотреть в перископ.

Да мы решили вопрос по другому, это касается только РДП подключения, мне просто интересна именно реализация подобного в ГПО

 

[isucukbx]

Да мы решили вопрос по другому, это касается только РДП подключения, мне просто интересна именно реализация подобного в ГПО

А как странноватый MFA связан с GPO?
По теме если у тебя есть локальный админ, то просто берешь любой *exec.py из импакета и идешь куда тебе надо

 

[kamzzzzz]

А как странноватый MFA связан с GPO?
По теме если у тебя есть локальный админ, то просто берешь любой *exec.py из импакета и идешь куда тебе надо

да я понимаю, мы так и делали. Так получается что это приблуда работает только на компах где серверы, на обычные станции пускает без проблем

 

[Desconocido]

Через что можно сделать дамп кред кроме impacket ? Суть такая: пробил зерологоном с рабочего дедика ДЦ, но ав на ДЦ не дает сдампить креды через секретсдамп.

 

[Desconocido]

Мимикатцом пробуй.

пробовал. ав стоит Cortex XDR

 

[cyr4x]

Через что можно сделать дамп кред кроме impacket ? Суть такая: пробил зерологоном с рабочего дедика ДЦ, но ав на ДЦ не дает сдампить креды через секретсдамп.

Если совсем безнадега то попробуй NTDS.DIT утащить из теневых копий.
Ну и вот еще

NTDS.dit Password Extraction

This tutorial explains how hackers exploit access to the NTDS.dit file to get access to your AD and how to detect, mitigate and respond to this attack

www.netwrix.com

 

[DrSleep]

Новый способ, сам пока не тестил

GitHub - zblurx/certsync: Dump NTDS with golden certificates and UnPAC the hash

Dump NTDS with golden certificates and UnPAC the hash - zblurx/certsync

github.com

 

[Desconocido]

Новый способ, сам пока не тестил

GitHub - zblurx/certsync: Dump NTDS with golden certificates and UnPAC the hash

Dump NTDS with golden certificates and UnPAC the hash - zblurx/certsync

github.com

тут нужен акк ДА , я пробовал . у зерологона там же сбрасывает пасс машинного акка.

 

[CCod]

Через что можно сделать дамп кред кроме impacket ? Суть такая: пробил зерологоном с рабочего дедика ДЦ, но ав на ДЦ не дает сдампить креды через секретсдамп.

nanodump попробуй

 

[Desconocido]

ÐÐ°Ð¼Ð¿Ñ LSASS Ð´Ð»Ñ Ð²ÑеÑ, даÑом, и пÑÑÑÑ Ð½Ð¸ÐºÑо не ÑÐ¹Ð´ÐµÑ Ð¾Ð±Ð¸Ð¶ÐµÐ½Ð½Ñй

ÐдÑавÑÑвÑйÑе, ÑабÑолÑди! ÐÐµÐ½Ñ Ð·Ð¾Ð²ÑÑ @snovvcrash , и Ñ ÑабоÑÐ°Ñ Ð² оÑделе анализа заÑиÑенноÑÑи компании Angara Security. ÐÑвеÑÐ°Ñ Ñ, знаÑиÑÑÑ, за инÑÑаÑÑÑÑкÑÑÑнÑй пенÑеÑÑ, и в ÑÑой ÑÑаÑÑе Ñ ÑоÑел бÑ...

habr.com

Более простой вариант: https://www.untrustaland.com/blog/lsass-dump-bypass/
Сам тестировал. На софосе дало сделать дамп без проблем. Уверен, что и другие АВ обойдет.

я про это знаю, у меня проблема в другом. Я выше писал, что пробил зерологоном тачку, и нужно сдампить креды неспосредственно с ДЦ , у меня акка ДА нету. После пробития зерологоном "python secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 AD03$@192.168.100.15" ав не дает сдампить креды. был бы акк ДА не было б проблем от слова "совсем"

 

[developer_ing]

Дамп не дает сделать не из-за того, что там АВ что-то блочит, а по другой причине. Если ты смог пробить зерологоном ДЦ - значит и хэши сможешь сдампить.
Ищи проблему в другом.
Например попробуй сделать дамп с линукса, а не с винды. Убедись, что коннект к впну есть и так далее.

Возможно он действительно пишет про КРЕДЫ, а не про хэши, то есть в готовом виде.
Если действительно нужны Хэши то он по любому должен снять одной из этих комманд:
secretsdump.py -no-pass -just-dc DOMAIN/PC\$@IP
secretsdump.py -no-pass -just-dc DOMAIN/'PC$'@IP

 

[Dropbear]

После пробития зерологоном "python secretsdump.py -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 AD03$@192.168.100.15" ав не дает сдампить креды.

Ошибку дай,скрин, что пишет-то. Мб проблема не в авере

 

[Desconocido]

Дамп не дает сделать не из-за того, что там АВ что-то блочит, а по другой причине. Если ты смог пробить зерологоном ДЦ - значит и хэши сможешь сдампить.
Ищи проблему в другом.
Например попробуй сделать дамп с линукса, а не с винды. Убедись, что коннект к впну есть и так далее.

пытался и с кали и винды и через всл. даже через ехе секретсдамп. вот ошибка
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
[-] The NETBIOS connection with the remote host timed out. . хотя дц пингуется. уже неактуально, сбрутил кербу ). через runas удалось снять ее.
но пробивал зерологоном я не через мимик и не через питон скрипт, а на шарпе написан который , и он не палится ав )

 

[Stupor]

Столкнулись с интересной штукой, при заходе от ДА на хосты по РДП задает доп вопросики на стандартной страничке логона, при каждом конекте разные, причем это очень интересно реализовано типа таблички морского боя, вопрос "А1 B2 C3" и нужно ввести ответ, очевидно что эта табличка распечатана у админа перед ПК и он может легко сориентироваться на том что написано в каждой из этоих клеток и написать ответ.
Внимание вопрос, как это реализованно в ГПО?

Этот "морской бой" отключается в сессии 0, если заходить по РДП с параметром /console

 

[kamzzzzz]

Этот "морской бой" отключается в сессии 0, если заходить по РДП с параметром /console

Параметр консоль актуален для винды до 7, после он заменен на админ. Вопрос в реализации, а не в том как обойти, как обойти я знаю

 

[blunt]

Приветствую, имею доступ в сети к vCenter подскажите как грамотно довести дело до конца полностью накрыть!?