PrivEsc Поднятие в домене до учётки юзера. NoCreds -> Domain user

[Jack Silverlight]

у кого нибуть получалось сбрутить пароли с kerbrute usernames, у меня или словари плохие, или что то не так делаю, ни разу не получил пасс.

тебе удалось достигнуть какого-либо прогресса в этом вопросе?
мне непонятно как комбинировать небольшое количество юзеров, lockout policy и эффективность брут-форса.

если кто-то может поделиться успешными случаями/ опытом - буду благодарен.

P.S. В мануале Conti видел food1234 как распространенный корпоративный пароль

 

[RandomName]

P.S. В мануале Conti видел food1234 как распространенный корпоративный пароль

Не разу такого не видел)
Скорее Pa$$w0rd1 ))

 

[Det]

Нужен совет.
Попал в сеть через webshell и получил права root но как мне пригнуть на windows в голову просто не приходят варианты.

 

[rwxrwx]

Need some advice.
I got onto the network via webshell and got root rights, but how to get it on Windows just doesn’t come to mind.

You will need tunnel solution like ngrok or frp (quick search on GitHub).

 

[Det]

You will need tunnel solution like ngrok or frp (quick search on GitHub).

Can you give me an example if you don't mind?

 

[0x60b1iN]

Нужен совет.
Попал в сеть через webshell и получил права root но как мне пригнуть на windows в голову просто не приходят варианты.

Не понятно что ты хочешь. Ты залил шел на линукс, который не подсоединен к домену, и ты хочешь в домен залезть?

 

[HostBost]

Попал в сеть через webshell и получил права root но как мне пригнуть на windows в голову просто не приходят варианты.

если lin видит другие машины, то либо установи на него nmap и проскань хосты на популярные уязвимости, либо используй lin для пивотинга и скань со своей тачки

 

[Det]

Не понятно что ты хочешь. Ты залил шел на линукс, который не подсоединен к домену, и ты хочешь в домен залезть?

В домене он есть я хочу попасть в windows чтоб уже от туда продолжить стабильно работать

 

[0x60b1iN]

В домене он есть я хочу попасть в windows чтоб уже от туда продолжить стабильно работать

если у тебя нет учетки то можно следующее (я не учитываю OPSEC):

1. Через kerbrute по словарю пользователей найти какие есть юзеры, и потом спреить пароли популярные. Но сначала попробуй узнать политику паролей, чтобы не залочить юзеров.

2. Если есть LLMNR/Netbios и юзается NTLM, то через респондер можешь начать poisoning. Можешь тогда попробовать крякнуть NetNTLMv2 по словарю и получить пароль, или провести relay, благо рут у тебя есть для этого.

3. Или сплойти тачки в домене если есть дырки

 

[yixfwe]

В домене он есть я хочу попасть в windows чтоб уже от туда продолжить стабильно работать

как понял что он в домене, как чекнул?

 

[la-of-sh]

NoCreds -> Domain user:
1. мс17
2. брут(kerbrute ->passsprey)
3. зирологон
4. респондер
5. релеи
6. сервисы
-mysql\mssql
-exchange
-принтеры
-сипы
-линуксы
....

 

[Razer]

Host Name:                 MMX-SVR-JEM01
OS Name:                   Microsoft Windows Server 2019 Datacenter
OS Version:                10.0.17763 N/A Build 17763
OS Manufacturer:           Microsoft Corporation
OS Configuration:          Member Server
OS Build Type:             Multiprocessor Free
Registered Owner:          Windows User
Registered Organization:
Product ID:                00430-30066-19854-AAOEM
Original Install Date:     19/10/2021, 11:55:13 AM
System Boot Time:          8/1/2025, 1:03:20 AM
System Manufacturer:       Nutanix
System Model:              AHV
System Type:               x64-based PC
Processor(s):              2 Processor(s) Installed.
                           [01]: Intel64 Family 15 Model 6 Stepping 1 GenuineIntel ~3193 Mhz
                           [02]: Intel64 Family 15 Model 6 Stepping 1 GenuineIntel ~3193 Mhz
BIOS Version:              SeaBIOS 1.11.0-2.el7, 1/4/2014
Windows Directory:         C:\Windows
System Directory:          C:\Windows\system32
Boot Device:               \Device\HarddiskVolume1
System Locale:             4809
Input Locale:              en-us;English (United States)
Time Zone:                 (UTC+08:00) Kuala Lumpur, Singapore
Total Physical Memory:     32,767 MB
Available Physical Memory: 1,682 MB
Virtual Memory: Max Size:  41,491 MB
Virtual Memory: Available: 8,039 MB
Virtual Memory: In Use:    33,452 MB
Page File Location(s):     C:\pagefile.sys
Domain:                    sookee.local
Logon Server:              N/A
Hotfix(s):                 18 Hotfix(s) Installed.
                           [01]: KB5046268
                           [02]: KB4535680
                           [03]: KB4566424
                           [04]: KB4589208
                           [05]: KB5048661
                           [06]: KB5006754
                           [07]: KB5008287
                           [08]: KB5020374
                           [09]: KB5023789
                           [10]: KB5028316
                           [11]: KB5030505
                           [12]: KB5032306
                           [13]: KB5034863
                           [14]: KB5037017
                           [15]: KB5039335
                           [16]: KB5041577
                           [17]: KB5043126
                           [18]: KB5005701
Network Card(s):           1 NIC(s) Installed.
                           [01]: Nutanix VirtIO Ethernet Adapter
                                 Connection Name: Ethernet
                                 DHCP Enabled:    No
                                 IP address(es)
                                 [01]: xx.xx.xx.xx
                                 [02]: xx::xx:xx:xx:xx
Hyper-V Requirements:      A hypervisor has been detected. Features required for Hyper-V will not be displayed.


> wmic qfe list full /format:table
Caption                                     CSName         Description      FixComments  HotFixID   InstallDate  InstalledBy                  InstalledOn  Name  ServicePackInEffect  Status
http://support.microsoft.com/?kbid=5046268  MMX-SVR-JEM01  Update                        KB5046268               NT AUTHORITY\SYSTEM          1/7/2025
http://support.microsoft.com/?kbid=4535680  MMX-SVR-JEM01  Security Update               KB4535680               NT AUTHORITY\SYSTEM          9/15/2021
http://support.microsoft.com/?kbid=4566424  MMX-SVR-JEM01  Security Update               KB4566424                                            8/7/2020
https://support.microsoft.com/help/4589208  MMX-SVR-JEM01  Update                        KB4589208               MMX-SVR-JEM01\Administrator  10/19/2021
https://support.microsoft.com/help/5048661  MMX-SVR-JEM01  Security Update               KB5048661               NT AUTHORITY\SYSTEM          1/7/2025
                                            MMX-SVR-JEM01  Update                        KB5006754               NT AUTHORITY\SYSTEM          11/16/2021
                                            MMX-SVR-JEM01  Security Update               KB5008287               NT AUTHORITY\SYSTEM          1/14/2022
                                            MMX-SVR-JEM01  Security Update               KB5020374               NT AUTHORITY\SYSTEM          11/22/2022
                                            MMX-SVR-JEM01  Security Update               KB5023789               NT AUTHORITY\SYSTEM          4/18/2023
                                            MMX-SVR-JEM01  Security Update               KB5028316               NT AUTHORITY\SYSTEM          8/22/2023
                                            MMX-SVR-JEM01  Security Update               KB5030505               NT AUTHORITY\SYSTEM          9/19/2023
                                            MMX-SVR-JEM01  Security Update               KB5032306               NT AUTHORITY\SYSTEM          1/3/2024
                                            MMX-SVR-JEM01  Security Update               KB5034863               NT AUTHORITY\SYSTEM          3/5/2024
                                            MMX-SVR-JEM01  Security Update               KB5037017               NT AUTHORITY\SYSTEM          4/23/2024
                                            MMX-SVR-JEM01  Security Update               KB5039335               NT AUTHORITY\SYSTEM          6/25/2024
                                            MMX-SVR-JEM01  Security Update               KB5041577               NT AUTHORITY\SYSTEM          8/28/2024
                                            MMX-SVR-JEM01  Security Update               KB5043126               NT AUTHORITY\SYSTEM          1/7/2025
                                            MMX-SVR-JEM01  Security Update               KB5005701               NT AUTHORITY\SYSTEM          9/15/2021

> quser
exit status 1
No User exists for *

> whoami /all

USER INFORMATION
----------------

User Name              SID
====================== ===============================================================
nt service\mssqlserver S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003


GROUP INFORMATION
-----------------

Group Name                           Type             SID          Attributes                                 
==================================== ================ ============ ==================================================
Mandatory Label\High Mandatory Level Label            S-1-16-12288                                           
Everyone                             Well-known group S-1-1-0      Mandatory group, Enabled by default, Enabled group
BUILTIN\Users                        Alias            S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\SERVICE                 Well-known group S-1-5-6      Mandatory group, Enabled by default, Enabled group
CONSOLE LOGON                        Well-known group S-1-2-1      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users     Well-known group S-1-5-11     Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization       Well-known group S-1-5-15     Mandatory group, Enabled by default, Enabled group
LOCAL                                Well-known group S-1-2-0      Mandatory group, Enabled by default, Enabled group
NT SERVICE\ALL SERVICES              Well-known group S-1-5-80-0   Mandatory group, Enabled by default, Enabled group


PRIVILEGES INFORMATION
----------------------

Privilege Name                Description                               State
============================= ========================================= ========
SeAssignPrimaryTokenPrivilege Replace a process level token             Disabled
SeIncreaseQuotaPrivilege      Adjust memory quotas for a process        Disabled
SeChangeNotifyPrivilege       Bypass traverse checking                  Enabled
SeImpersonatePrivilege        Impersonate a client after authentication Enabled
SeCreateGlobalPrivilege       Create global objects                     Enabled
SeIncreaseWorkingSetPrivilege Increase a process working set            Disabled


USER CLAIMS INFORMATION
-----------------------

User claims unknown.

Kerberos support for Dynamic Access Control on this device has been disabled.

у меня стоит рев шелл и тунель. Снял через респондер хеш машины (не юзера)
на машине стоит софос и хитман
Подскажите как подняться или вытащить креды

 

[0x60b1iN]

Host Name:                 MMX-SVR-JEM01
OS Name:                   Microsoft Windows Server 2019 Datacenter
OS Version:                10.0.17763 N/A Build 17763
OS Manufacturer:           Microsoft Corporation
OS Configuration:          Member Server
OS Build Type:             Multiprocessor Free
Registered Owner:          Windows User
Registered Organization:
Product ID:                00430-30066-19854-AAOEM
Original Install Date:     19/10/2021, 11:55:13 AM
System Boot Time:          8/1/2025, 1:03:20 AM
System Manufacturer:       Nutanix
System Model:              AHV
System Type:               x64-based PC
Processor(s):              2 Processor(s) Installed.
                           [01]: Intel64 Family 15 Model 6 Stepping 1 GenuineIntel ~3193 Mhz
                           [02]: Intel64 Family 15 Model 6 Stepping 1 GenuineIntel ~3193 Mhz
BIOS Version:              SeaBIOS 1.11.0-2.el7, 1/4/2014
Windows Directory:         C:\Windows
System Directory:          C:\Windows\system32
Boot Device:               \Device\HarddiskVolume1
System Locale:             4809
Input Locale:              en-us;English (United States)
Time Zone:                 (UTC+08:00) Kuala Lumpur, Singapore
Total Physical Memory:     32,767 MB
Available Physical Memory: 1,682 MB
Virtual Memory: Max Size:  41,491 MB
Virtual Memory: Available: 8,039 MB
Virtual Memory: In Use:    33,452 MB
Page File Location(s):     C:\pagefile.sys
Domain:                    sookee.local
Logon Server:              N/A
Hotfix(s):                 18 Hotfix(s) Installed.
                           [01]: KB5046268
                           [02]: KB4535680
                           [03]: KB4566424
                           [04]: KB4589208
                           [05]: KB5048661
                           [06]: KB5006754
                           [07]: KB5008287
                           [08]: KB5020374
                           [09]: KB5023789
                           [10]: KB5028316
                           [11]: KB5030505
                           [12]: KB5032306
                           [13]: KB5034863
                           [14]: KB5037017
                           [15]: KB5039335
                           [16]: KB5041577
                           [17]: KB5043126
                           [18]: KB5005701
Network Card(s):           1 NIC(s) Installed.
                           [01]: Nutanix VirtIO Ethernet Adapter
                                 Connection Name: Ethernet
                                 DHCP Enabled:    No
                                 IP address(es)
                                 [01]: xx.xx.xx.xx
                                 [02]: xx::xx:xx:xx:xx
Hyper-V Requirements:      A hypervisor has been detected. Features required for Hyper-V will not be displayed.


> wmic qfe list full /format:table
Caption                                     CSName         Description      FixComments  HotFixID   InstallDate  InstalledBy                  InstalledOn  Name  ServicePackInEffect  Status
http://support.microsoft.com/?kbid=5046268  MMX-SVR-JEM01  Update                        KB5046268               NT AUTHORITY\SYSTEM          1/7/2025
http://support.microsoft.com/?kbid=4535680  MMX-SVR-JEM01  Security Update               KB4535680               NT AUTHORITY\SYSTEM          9/15/2021
http://support.microsoft.com/?kbid=4566424  MMX-SVR-JEM01  Security Update               KB4566424                                            8/7/2020
https://support.microsoft.com/help/4589208  MMX-SVR-JEM01  Update                        KB4589208               MMX-SVR-JEM01\Administrator  10/19/2021
https://support.microsoft.com/help/5048661  MMX-SVR-JEM01  Security Update               KB5048661               NT AUTHORITY\SYSTEM          1/7/2025
                                            MMX-SVR-JEM01  Update                        KB5006754               NT AUTHORITY\SYSTEM          11/16/2021
                                            MMX-SVR-JEM01  Security Update               KB5008287               NT AUTHORITY\SYSTEM          1/14/2022
                                            MMX-SVR-JEM01  Security Update               KB5020374               NT AUTHORITY\SYSTEM          11/22/2022
                                            MMX-SVR-JEM01  Security Update               KB5023789               NT AUTHORITY\SYSTEM          4/18/2023
                                            MMX-SVR-JEM01  Security Update               KB5028316               NT AUTHORITY\SYSTEM          8/22/2023
                                            MMX-SVR-JEM01  Security Update               KB5030505               NT AUTHORITY\SYSTEM          9/19/2023
                                            MMX-SVR-JEM01  Security Update               KB5032306               NT AUTHORITY\SYSTEM          1/3/2024
                                            MMX-SVR-JEM01  Security Update               KB5034863               NT AUTHORITY\SYSTEM          3/5/2024
                                            MMX-SVR-JEM01  Security Update               KB5037017               NT AUTHORITY\SYSTEM          4/23/2024
                                            MMX-SVR-JEM01  Security Update               KB5039335               NT AUTHORITY\SYSTEM          6/25/2024
                                            MMX-SVR-JEM01  Security Update               KB5041577               NT AUTHORITY\SYSTEM          8/28/2024
                                            MMX-SVR-JEM01  Security Update               KB5043126               NT AUTHORITY\SYSTEM          1/7/2025
                                            MMX-SVR-JEM01  Security Update               KB5005701               NT AUTHORITY\SYSTEM          9/15/2021

> quser
exit status 1
No User exists for *

> whoami /all

USER INFORMATION
----------------

User Name              SID
====================== ===============================================================
nt service\mssqlserver S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003


GROUP INFORMATION
-----------------

Group Name                           Type             SID          Attributes                                
==================================== ================ ============ ==================================================
Mandatory Label\High Mandatory Level Label            S-1-16-12288                                          
Everyone                             Well-known group S-1-1-0      Mandatory group, Enabled by default, Enabled group
BUILTIN\Users                        Alias            S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\SERVICE                 Well-known group S-1-5-6      Mandatory group, Enabled by default, Enabled group
CONSOLE LOGON                        Well-known group S-1-2-1      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users     Well-known group S-1-5-11     Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization       Well-known group S-1-5-15     Mandatory group, Enabled by default, Enabled group
LOCAL                                Well-known group S-1-2-0      Mandatory group, Enabled by default, Enabled group
NT SERVICE\ALL SERVICES              Well-known group S-1-5-80-0   Mandatory group, Enabled by default, Enabled group


PRIVILEGES INFORMATION
----------------------

Privilege Name                Description                               State
============================= ========================================= ========
SeAssignPrimaryTokenPrivilege Replace a process level token             Disabled
SeIncreaseQuotaPrivilege      Adjust memory quotas for a process        Disabled
SeChangeNotifyPrivilege       Bypass traverse checking                  Enabled
SeImpersonatePrivilege        Impersonate a client after authentication Enabled
SeCreateGlobalPrivilege       Create global objects                     Enabled
SeIncreaseWorkingSetPrivilege Increase a process working set            Disabled


USER CLAIMS INFORMATION
-----------------------

User claims unknown.

Kerberos support for Dynamic Access Control on this device has been disabled.

у меня стоит рев шелл и тунель. Снял через респондер хеш машины (не юзера)
на машине стоит софос и хитман
Подскажите как подняться или вытащить креды

Так ты же уже High Integrity Level. Может тебе прокинуть BYOVD и убить софос? Вряд ли ты сдампишь lsass с ним

 

[Razer]

гугли как абузить эту привелегию SeImpersonatePrivilege (godPotato и другие картошки)
далее можешь попытаться реестр снять(сэм,лса) но lsass тебе не даст сдампить паблик средствами

С этим все понятно, но если присмотреться к моему сообщение , то там написано - Стоит софос и хитман, а так же патченная винда

 

[tuda]

есть ли аналог по скорости kerbrute для теста локальных пользователей а не доменных?)
может кто встречал подскажите

 

[lord_host]

Можно брутить дефолтные учетки, пока не будет LOCK_OUT в netexec. Если акк залочиться - то значит учетка есть
Насканить принтеров, позаходить, вытащить юзеров.
Вебка

 

[OperationMeow]

Password spray it from leaked creds on public databases.

 

[WitchDoctor]

Приветствую!
Суть:
Есть учётка от VPN, но данных для доступа к домену(учёток) нет.
Вопросы:
Как двигаться?
Есть варианты кроме попыток найти и поразить сервисы типа MSSQL?
Можно ли заставить Responder(и аналоги) работать внутри сетки без входа в домен? Есть ли другой способ сниффать хэши?
Получиться ли собрать с LDAP данные о юзерах и побрутить пароли?

Если у вас нет имени пользователя и пароля, это очень сложно.

Следует использовать ограниченные уязвимости, такие как ZeroLogon.
Если вы можете получить доступ с помощью логирования или перебора, это будет очень полезно.
Таким образом, вы можете использовать уязвимости LPE для расширения доступа, а затем перейти к LSASS и выдать себя за токен.

Можно использовать карту Orange Cyber defense.