• XSS.stack #1 – первый литературный журнал от юзеров форума

Remote DFSCoerce - новая атака на Windows-домен

Отслеживать
Пожалуйста, обратите внимание, что пользователь заблокирован
IIIIXX сказал(а):
и довольно тривиально
он всегда делается тривиально, запуском пары скриптов.
isucukbx сказал(а):
Вам самим не стыдно?В чем проблема почитать немного, посмотреть какие-нибудь курсы?
да можно и не читать, бери говно сеть из африки\южной_амерки и там проверь - делов на пол-часа или пользуйся лабой\стендом
совет - не суйте респондер на винду с Defeneder For Endpoint - он сходу ребутнет хост и выведет его в афк режим
IIIIXX сказал(а):
На дк смб подпись уже повсюду включена давным давно.
не правда, далеко это не так, позавчера релеил нтлм на adcs в юсе и сеть была довольно приличная.
 
Bosh сказал(а):
совет - не суйте респондер на винду с Defeneder For Endpoint - он сходу ребутнет хост и выведет его в афк режим
Учитывая что респондер не работает на винде, насколько я помню, не знаю зачем его туда пихать
github.com

GitHub - lgandx/Responder: Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server supporting NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP and Basic HTTP authentication.

Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server supporting NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP and Basic HTTP authenticat...
github.com
>This tool is not meant to work on Windows.
Была какая-то тестовая версия для винды, но ее забросили давно.

Из интересного defender for endpoint умеет детектировать nbtns/llmnr poisoning в сетях.Сразу напишет с какого хоста идет атака.

Bosh сказал(а):
не правда, далеко это не так, позавчера релеил нтлм на adcs в юсе и сеть была довольно приличная.
Релеил на adcs куда?В http?Он подпись не поддерживает и поэтому атака возможна почти всегда, за исключением если EPA выставлен в required
В rpc?Там по умолчанию невозможно, мне кажется редкая конфигурация

Relaying to AD Certificate Services over RPC – Compass Security Blog

blog.compass-security.com blog.compass-security.com
>This flag is set by default on Windows Server 2012 and higher.

Но вообще речь шла про smb, а там
IIIIXX сказал(а):
На дк смб подпись уже повсюду включена давным давно.
более того, не просто enabled, а required.
т.е релей smb в smb домен контроллера работать не будет(если там не server 2003 или кто-то ее намеренно выключил)

Про drop-the-mic говорить нет смысла потому что ему уже 3 года и если там настолько давно не патчили, то проще взять пачку эксплойтов дающих рце, а не мучаться с релеями
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
isucukbx сказал(а):
Релеил на adcs куда?В http?
на http
isucukbx сказал(а):
Учитывая что респондер не работает на винде
все там работает, питон работает везде. вы молодой человек файрволы уже видили сами понимаете все прекрастно
если у вас чекпоинт стоит в сети с фильтрацией по белым спискам можите забыть про носки и импакет
да даже если и не чекпоинт - как правило адекваты ставят правило на запрет смб наружу. понятно что правило это не везде стоит - но встречается оно довольно часто
isucukbx сказал(а):
defender for endpoint умеет детектировать nbtns/llmnr poisoning в сетях.
не всегда умеет. есть способы обойти
 
Последнее редактирование:
Bosh сказал(а):
на http
Окей, тогда вы неправильно сформулировали говоря:
Bosh сказал(а):
не правда, далеко это не так, позавчера релеил нтлм на adcs в юсе и сеть была довольно приличная.
Отвечая на: "На дк смб подпись уже повсюду включена давным давно", она там все же стоит, просто при релее в http это не проблема

Bosh сказал(а):
не всегда умеет. есть способы обойти
Да, наверняка не всегда.У майкрософта куча уровней подписок часто, возможно с MDE тоже самое
"Все кастомеры равны, но некоторые равнее"

Когда увидел, предположил что работает так: рассылают llmnr и nbt-ns запросы на резолв несуществующего сервера и если хоть кто-то на него отвечает, то детектит
Если это так, то у меня нет идей как это можно обойти, разве что если:
У вас должно быть более 100 сообщений для просмотра скрытого контента.

1)MDE каждый раз спрашивает названия одного и того же несуществующего сервера/как-то однотипно генерит имена и можно забанить "резолв" таких хостов в респондере
2)это то что эти реквесты всегда идут от какого-то одного компа(домен контроллера, например) и тогда забанить можно его.
Но это все теории, нужно проверять

Угадал?
 
Bosh сказал(а):
он всегда делается тривиально, запуском пары скриптов.

да можно и не читать, бери говно сеть из африки\южной_амерки и там проверь - делов на пол-часа или пользуйся лабой\стендом
совет - не суйте респондер на винду с Defeneder For Endpoint - он сходу ребутнет хост и выведет его в афк режим

не правда, далеко это не так, позавчера релеил нтлм на adcs в юсе и сеть была довольно приличная.
Не вижу связи, если ты только не про ESC11 через протокол MS-ICPR
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх