ProxyShell не дропает шелл

[sect adept]

Доброго времени суток всем! Недавно начал чекать proxyshell, скачал ради теста эксп от horizon с гитхаба. После запуска падает PS Exchange шелл, далее пишу dropshell и сыпется ошибка:

[+] Attempting to assign export permission role to Administrator@xxx.com
127.0.0.1 - - [15/Jul/2023 12:26:20] "POST /wsman HTTP/1.1" 200 -
127.0.0.1 - - [15/Jul/2023 12:26:23] "POST /wsman HTTP/1.1" 200 -
OUTPUT:

ERROR:
Active Directory operation failed on AD1.xxx.com. The object 'CN=Mailbox Import Export-Administrator-99,CN=Role Assignments,CN=RBAC,CN=First Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=xxx,DC=com' already exists.

Пытался ремувнуть командлетом Remove-ManagementRoleAssignment 'Mailbox Import Export-Administrator через полученный PS Exchange шелл, падает с ошибкой:

A parameter cannot be found that matches parameter name 'ailbox Import Export-Administrator'.

Думаю окей, наверное с серваком что-то не так, много раз пробивали может... В итоге насканил 30+ штук серваков предварительно пробитых. Пытался на всех запускать - везде похожие ошибки, что шелл не может создаться из-за повтора роли или из-за:

ERROR:
The operation couldn't be performed because object 'Administrator' couldn't be found on 'xxx.xxx.com'. Verify the name of the management role assignment and try again. You can retrieve the name of the role assignment using the Get-ManagementRoleAssignment cmdlet.

Я конечно понимаю, что с шодана мало чего можно годного выдернуть и что все уже отработано или захерено, но все-таки думаю тут дело в моих кривых руках))

Еще было говорит, что не может найти юзера с таким идентити:

ERROR:
Couldn't find a user with the identity "Administrator@xxx.com".

Прошу помощи у вас, форумчане)) Целую неделю как баран бьюс и не догоняю в чем трабл: то ли в экспе надо все ошибки обрабатывать (если есть такая роль, то делитаем и так далее), то ли у меня руки кривые, то ли серваки кривые??

 

[sect adept]

P. S. Так же пробовал эксп от Udyz с гитхаба тоже. Там тоже просто падает PS Exchange шелл

 

[FromHell]

там во первых учетки именно админские нужны. через обычные учетки шелл не получишь. Во вторых нужно пэйлоад менять в самом эксплойте, он уже просто дефендором палится сразу. Самый лучший от Udyz как по мне. Но его тоже под себя нужно исправлять. В шодане кстати до сих пор прилично уязвимые находятся

 

[sect adept]

там во первых учетки именно админские нужны. через обычные учетки шелл не получишь. Во вторых нужно пэйлоад менять в самом эксплойте, он уже просто дефендором палится сразу. Самый лучший от Udyz как по мне. Но его тоже под себя нужно исправлять. В шодане кстати до сих пор прилично уязвимые находятся

Пейлоад, который веб-шелл .aspx? В шодане, да, согласен, чекером прогоняю список - много гудов, но не пробиваются)) А на счет админских учеток: разве эксп не сам вытягивает админа или руками почту указывать? Как вообще определить админскую учетку в этой уязвимости?)

 

[solomonfinik]

В шодане кстати до сих пор прилично уязвимые находятся

если сканить массканом и если доставать через шодан просто насколько колво айпишек разнится?

 

[IIIIXX]

Пейлоад, который веб-шелл .aspx? В шодане, да, согласен, чекером прогоняю список - много гудов, но не пробиваются)) А на счет админских учеток: разве эксп не сам вытягивает админа или руками почту указывать? Как вообще определить админскую учетку в этой уязвимости?)

С aspx может не срабатывать, так как любой уважающий себя ав детектит вызов cmd.exe из w3wp.exe, некоторые удаляют шел при первом же обращении к нему выдавая 404

 

[Prokhorenco]

This tutorial walks you through proxyshell exploitation to gain RCE: https://enlacehacktivista.org/index.php?title=Proxyshell

 

[FromHell]

Пейлоад, который веб-шелл .aspx? В шодане, да, согласен, чекером прогоняю список - много гудов, но не пробиваются)) А на счет админских учеток: разве эксп не сам вытягивает админа или руками почту указывать? Как вообще определить админскую учетку в этой уязвимости?)

Например у Udyz пэйлоад это javascript код который вызывает cmd, вот его надо обфусцировать. Автоматом админы не находятся, вот у того же Udyz учётки в тупую перебираются пока не найдется любой первый валидный. Поэтому нужно исправлять его чтобы можно было по одному чекать. А вообще можно скрипт написать который будет админа искать.

 

[FromHell]

если сканить массканом и если доставать через шодан просто насколько колво айпишек разнится?

Насчёт масскана не могу сказать. Не пользуюсь

 

[sect adept]

Например у Udyz пэйлоад это javascript код который вызывает cmd, вот его надо обфусцировать. Автоматом админы не находятся, вот у того же Udyz учётки в тупую перебираются пока не найдется любой первый валидный. Поэтому нужно исправлять его чтобы можно было по одному чекать. А вообще можно скрипт написать который будет админа искать.

Написать скрипт для поиска админа не проблема. Просто по какому алгоритму определить, что эта четка именно админская? На счет обфускации не думал кста, спасибо)) Я думал еще на счет того, чтобы обычный батник как-то дропать или например просто пару команд захардкодить чтобы они выполнялись, а далее уже двигаться опираясь на их результат (например, открыть рдп, что первое в голову пришло?)

 

[solomonfinik]

батник как-то дропать или например просто пару команд захардкодить чтобы они выполнялись, а далее уже двигаться опираясь на их результат (например, открыть рдп, что первое в голову пришло?)

ав блокед

 

[BuTamuH]

если сканить массканом и если доставать через шодан

массканом 443 ты не просканишь, а вот у ценсиса с шоданом разница 10-20%

 

[solomonfinik]

массканом 443 ты не просканишь

почему как это?

 

[FromHell]

,

Написать скрипт для поиска админа не проблема. Просто по какому алгоритму определить, что эта четка именно админская? На счет обфускации не думал кста, спасибо)) Я думал еще на счет того, чтобы обычный батник как-то дропать или например просто пару команд захардкодить чтобы они выполнялись, а далее уже двигаться опираясь на их результат (например, открыть рдп, что первое в голову пришло?)

берешь эксплоит proxyshell который exchangepowershell запускает, меняешь его чтобы можно было задать список почт. На каждую учетку ставишь условие: если после исполнения команды get-user будет возвращаться список пользователей exchange, то это админ, а если просто инфа того же пользователя, то - дроп.

 

[sect adept]

,

берешь эксплоит proxyshell который exchangepowershell запускает, меняешь его чтобы можно было задать список почт. На каждую учетку ставишь условие: если после исполнения команды get-user будет возвращаться список пользователей exchange, то это админ, а если просто инфа того же пользователя, то - дроп.

Благодарю)

 

[prox]

А кстати, при эксплуатации в метасе, вдруг в логе обнаружил:
[*] Enumerating valid email addresses and searching for one that either has the 'Mailbox Import Export' role or can self-assign it
[*] Enumerated 738 email addresses
никогда более 100 емайлов не было, это что глюк метаса?

 

[FromHell]

А кстати, при эксплуатации в метасе, вдруг в логе обнаружил:
[*] Enumerating valid email addresses and searching for one that either has the 'Mailbox Import Export' role or can self-assign it
[*] Enumerated 738 email addresses
никогда более 100 емайлов не было, это что глюк метаса?

это не глюк, эксплоит так написан

 

[BuTamuH]

почему как это?

у масскана свой собственный специальный стек tcp/ip для скана, и на нем титл граб ssl не работает.
для ssl скана надо юзать другие утилиты

 

[solomonfinik]

у масскана свой собственный специальный стек tcp/ip для скана, и на нем титл граб ssl не работает.
для ssl скана надо юзать другие утилиты

масскан+нуклеи
я пробовал бля с шодана и с массана собирать 3389 по рофлу и была разница в 40%

 

[qGodless]

masscan+nuclei
I fucking tried to collect 3389 from Shodan and Massan using rofl and there was a difference of 40%

Which one was higher?