PrivEsc Поднятие в домене до учётки юзера. NoCreds -> Domain user

[Octoberine]

Приветствую!
Суть:
Есть учётка от VPN, но данных для доступа к домену(учёток) нет.
Вопросы:
Как двигаться?
Есть варианты кроме попыток найти и поразить сервисы типа MSSQL?
Можно ли заставить Responder(и аналоги) работать внутри сетки без входа в домен? Есть ли другой способ сниффать хэши?
Получиться ли собрать с LDAP данные о юзерах и побрутить пароли?

 

[script]

скань сетку на уязвимые сервисы -хосты (экспы, брут на дефолтные четки) откуда можно раскрутится или dhcp arp spoof обычно всякие джиры И так далее в локалке работают по http итд

 

[Octoberine]

скань сетку на уязвимые сервисы -хосты (экспы, брут на дефолтные четки) откуда можно раскрутится или dhcp arp spoof обычно всякие джиры И так далее в локалке работают по http итд

Спасибо большое, но я вроде как раз все эти методы, кроме dhcp arp перечислил. Софт подскажешь? Для перебора учёток есть ли что-то лучше Patator/SMB-Reverse-Brute?
Что для арп-спуфа на винде можно юзать?

 

[Pernat1y]

Спасибо большое, но я вроде как раз все эти методы, кроме dhcp arp перечислил. Софт подскажешь? Для перебора учёток есть ли что-то лучше Patator/SMB-Reverse-Brute?
Что для арп-спуфа на винде можно юзать?

ldap-brute NSE script — Nmap Scripting Engine documentation

How to use the ldap-brute NSE script: examples, script-args, and references.

nmap.org

smb-brute NSE script — Nmap Scripting Engine documentation

How to use the smb-brute NSE script: examples, script-args, and references.

nmap.org

---

Build software better, together

GitHub is where people build software. More than 100 million people use GitHub to discover, fork, and contribute to over 420 million projects.

github.com

 

[Octoberine]

ldap-brute NSE script — Nmap Scripting Engine documentation

How to use the ldap-brute NSE script: examples, script-args, and references.

nmap.org

smb-brute NSE script — Nmap Scripting Engine documentation

How to use the smb-brute NSE script: examples, script-args, and references.

nmap.org

---

Build software better, together

GitHub is where people build software. More than 100 million people use GitHub to discover, fork, and contribute to over 420 million projects.

github.com

Спасибище. Что-то в самую первую сторону(на nmap) я не догадался посмотреть.
Хотя сам иногда https://nmap.org/nsedoc/scripts/ms-sql-brute.html использую. Оставлю сразу ещё https://github.com/NetSPI/PowerUpSQL , вдруг кому пригодится через MSSQL продвигаться.
Я на гитхабе посмотрел софт, просто там его относительно много и нужно тестить и смотреть что лучше, чётче и быстрее работает, хотел пропустить это и узнать какое-то популярное хорошее решение.
Надеюсь, ещё подскажет кто-то про Inveigh(тот же респондер, но на пш). Можно ли его заставить работать в сети, не заходя в домен.
Также добавлю в тему ссылку на https://github.com/byt3bl33d3r/CrackMapExec/ , через него тоже можно брутить сервисы. И ещё много чего делать.

 

[script]

GitHub - byt3bl33d3r/CrackMapExec: A swiss army knife for pentesting networks

A swiss army knife for pentesting networks. Contribute to byt3bl33d3r/CrackMapExec development by creating an account on GitHub.

github.com

классика
ну и для понимания
https://dirkjanm.io/exploiting-CVE-2019-1040-relay-vulnerabilities-for-rce-and-domain-admin/

 

[badcapper]

очень полезный топик, лайк

 

[Pent]

Попробуй мимиком снять креды, если не получится в открытом виде то хеши дальше уже pth жрет CrackMapExec,Psexec,xfreerdp,PTH toolkit (pth-net,pth-rpcclient,pth-smbclient,pth-winexe,pth-wmic,pth-wmis), снял хешь учетки проверил по диапозону

 

[Octoberine]

Попробуй мимиком снять креды, если не получится в открытом виде то хеши дальше уже pth жрет CrackMapExec,Psexec,xfreerdp,PTH toolkit (pth-net,pth-rpcclient,pth-smbclient,pth-winexe,pth-wmic,pth-wmis), снял хешь учетки проверил по диапозону
Посмотреть вложение 12406

Откуда можно снимать креды мимикатзом, если нет ни одной учётки? Я не полностью знаю инструмент(не очень разбираюсь в генерации тикетов) и может он умеет по сети работать без домена? Не со своего же ПК/Виртуалки их снимать? То есть не то, что нет доступа к рабочей станции и шелла хотя бы там, но нет возможности даже в домен зайти. Когда коннектишься к сети по VPN, ты попадаешь просто в локалку, которую ты видишь в сканерах, но не можешь никуда подключиться, так как учёток нет. Инструменты, которые домен сканят даже просто на SPN будут ругаться, что ты в домен не зашёл и т.д.
Это хорошо работает, когда есть ХОТЯ БЫ юзерский доступ в домен. Там вариантов продвижения уже уйма появляется.
Вопрос именно в том, какие способы существую этот юзерский доступ получить.
Добавлю по теме ещё:

GitHub - Barriuso/SMBGhost_AutomateExploitation: SMBGhost (CVE-2020-0796) Automate Exploitation and Detection

SMBGhost (CVE-2020-0796) Automate Exploitation and Detection - Barriuso/SMBGhost_AutomateExploitation

github.com

и старенький ms17-010 тоже может где-то сработает.
ЗЫ: Кстати тема будет полезна тем кто с одноранговыми сетями сталкивается(а таких много при работе с RDP). Так что будет здорово собрать тут эксплойты для популярных сервисов в WIn-сетках.

 

[w00du]

Откуда можно снимать креды мимикатзом, если нет ни одной учётки? Не со своего же ПК/Виртуалки их снимать? То есть не то, что нет доступа к рабочей станции и шелла хотя бы там, но нет возможности даже в домен зайти. Когда коннектишься к сети по VPN, ты попадаешь просто в локалку, которую ты видишь в сканерах, но не можешь никуда подключиться, так как учёток нет. Инструменты, которые домен сканят даже просто на SPN будут ругаться, что ты в домен не зашёл и т.д.
Это хорошо работает, когда есть ХОТЯ БЫ юзерский доступ в домен. Там вариантов продвижения уже уйма появляется.
Вопрос именно в том, какие способы существую этот юзерский доступ получить.
Добавлю по теме ещё:

GitHub - Barriuso/SMBGhost_AutomateExploitation: SMBGhost (CVE-2020-0796) Automate Exploitation and Detection

SMBGhost (CVE-2020-0796) Automate Exploitation and Detection - Barriuso/SMBGhost_AutomateExploitation

github.com

и старенький ms17-010 тоже может где-то сработает.

ты случайно не на хонипот попал?)

 

[Octoberine]

ты случайно не на хонипот попал?)

У меня много сетей, где есть доступ только от VPN. Не думаю, что это всё ханипоты

 

[w00du]

У меня много сетей, где есть доступ только от VPN. Не думаю, что это всё ханипоты

я один раз влетел с паблик сплойтом, тоже доступ через vpn, а потом пришлось впс-ку менять

 

[Octoberine]

я один раз влетел с паблик сплойтом, тоже доступ через vpn, а потом пришлось впс-ку менять

Не знал даже, чтоб бывают на пульсах ханипоты. Может стоит поднять небольшую сетку с пульсом уязвимым и посмотреть как другие будут двигаться по нему.
Но у меня не пульсы/цитриксы, да и доступы не со сплойтов, хотя все эти впн'ы идентичные практически, только клиенты разные.

 

[Pent]

https://xss.pro/threads/38500/

 

[Octoberine]

https://xss.pro/threads/38500/

Ещё раз говорю. Ты видишь, что он коннектиться по RDP с УЧЁТКИ которая у него уже есть. Когда есть хотя бы одна учётка, то способов продвижения становится очень много. Можно попробовать собирать gpp/sysvol, можно psexec'ом или дефолтным wmic'ом проходить всё, есть kerberoasting атаки(тикеты и так далее), есть responder и аналоги со спуфом SMB/DNS, есть DNSAdmins, есть ACL и бладхаунд, да куча всего. Да часто бывает, что учётка от VPN=учётка от домена, как показано в видео. Но ещё чаще бывает, что это не так. Часто бывает, что в домене стоит срок действия пароля, а VPN никак не интегрирован с AD и LDAP. И в VPN ты зайдёшь, а дальше при попытке куда-либо подключиться тебе будет писать Invalid Password.

 

[Pent]

Ещё раз говорю. Ты видишь, что он коннектиться по RDP с УЧЁТКИ которая у него уже есть. Когда есть хотя бы одна учётка, то способов продвижения становится очень много. Можно попробовать собирать gpp/sysvol, можно psexec'ом или дефолтным wmic'ом проходить всё, есть kerberoasting атаки(тикеты и так далее), есть responder и аналоги со спуфом SMB/DNS, есть DNSAdmins, есть ACL и бладхаунд, да куча всего. Да часто бывает, что учётка от VPN=учётка от домена, как показано в видео. Но ещё чаще бывает, что это не так. Часто бывает, что в домене стоит срок действия пароля, а VPN никак не интегрирован с AD и LDAP. И в VPN ты зайдёшь, а дальше при попытке куда-либо подключиться тебе будет писать Invalid Password.

я понял тебя теперь)

 

[puertoricanec]

Тема актуальна! Может у кого есть чем поделиться новым? Именно БЕЗ доступа к рдп

 

[Dropbear]

Тема актуальна! Может у кого есть чем поделиться новым? Именно БЕЗ доступа к рдп

Старый и еще где-то пробивной зерологон. Кстати зерологон сейчас и на нормальных сетках встречается довольно часто. Ну и брутфорс

 

[puertoricanec]

Старый и еще где-то пробивной зерологон. Кстати зерологон сейчас и на нормальных сетках встречается довольно часто. Ну и брутфорс

Пробивал на зерологон последние 30~ сеток безуспешно

 

[50cent]

Если есть учетка локального админа, но lsaas дамп пуст - какие могут быть (помимо брута) варианты?