• XSS.stack #1 – первый литературный журнал от юзеров форума

Что можно сделать имея пароль от учетной записи компьютера?

Отслеживать
sect adept

sect adept

(L3) cache
Пользователь
Регистрация
19.02.2022
Сообщения
280
Решения
3
Реакции
73
Здравствуйте. Пробил доменный хост через мс17, сдампил хэши.
Pth с хэшем локального админа не получилось выполнить и расшифровать.
В дампе увидел учетку, в названии которой в конце стоит знак доллара (bkadmin$).
Такой учетки в домене не нашел. От нее имеется хэш и пасс в чистом виде.
Что можно с этим сделать?
 
у меня во владениях только обычная доменная учетка и свой локальный админ на пробитой тачке. Чекал bkadmin в пользаках домена - нет такого
 
Попробуй запустить коллектор SharpHound.exe, и отрисовать граф в BloodHound. Думаю есть вероятность что наткнёшься на интересные ACL. Можешь так же попытаться подняться засчёт службы сертификатов (ESC1-ESC8), или всякие паблик сплойты (Zerologon,CVE-2022-26923,2021-42287 итд)
 
Последнее редактирование:
Since you succesfully exploited ms017, you got code exec with SYSTEM context, If you got stucked because hashs cant be cracked there is an option. You can force passwords to be stored in plain text and dump it from lsass(widgest). The change you will need is the following:

Код: 
 reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /f /v UseLogonCredential /t REG_DWORD /d 1

Then you just need to wait few time, maybe some days and dump lsass again. Hope it helps.
 
возможно, что bkadmin$ это не юзерский акк, а акк хоста bkadmin в домене. учитывая возраст пробитой тачки, еще возможно, что такого хоста уже нет в домене или он переименован. т.е. это все камень из которого не добыть воды.
хорошо бы, конечно, ломануть админский хешик. так что этот вектор не оставляй.
 
Забыл про эту тему уже и забыл отписать как вышло... Вообщем просто получилось угнать токен ДА. Просто повезло, что на пробитой тачке через МС17 был токен ДА... Единственная тачка была уязвимая и такое)
 
sect adept сказал(а):
Забыл про эту тему уже и забыл отписать как вышло... Вообщем просто получилось угнать токен ДА. Просто повезло, что на пробитой тачке через МС17 был токен ДА... Единственная тачка была уязвимая и такое)
через incognito.exe list_tokens -u ?
 
Prozac сказал(а):
через incognito.exe list_tokens -u ?
именно, но через метерпретер сессию, подгрузив модуль инкогнито
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх