Сегодня вспомним о защите...
А точнее о Protected Users, вспомним в контексте пентеста конечно😎
Ну и не забудем про PTK (ай, спойлеры😐)

Обычно, когда в ходе пентеста мы видим УЗ с одинаковыми (похожими) ФИО, но разными правами в домене (особенно, если вторая УЗ - админ домена), первое, что приходит в голову: сейчас реюзнем пароль и заовним эти ваши актив директори🙏
Довольные идём в netexec, делаем Pass-The-Hash и получаем STATUS_ACCOUNT_RESTRICTION 😐

Как все было легко, если бы не Protected Users👀
В чем соль защиты:
▪️Учетные данные защищенных пользователей не будут кэшироваться (да, дамп LSASS вам больше не поможет).
▪️Для защищенных пользователей аутентификация Kerberos не будет генерировать ключи DES или RC4, а также не будет кэшировать текстовые учетные данные или долгосрочные ключи после первоначального получения Ticket-Granting Ticket (TGT) (да, с использованием NTLM тикет не запросить).
▪️NTLM и одноразовая функция NTLM (NTOWF) заблокированы (*грустный вздох*).

Контра: использование AES ключа и Pass-The-Key.🎸
Да, придется делать эскалацию в домене и при помощи, например, УЗ с DCsync получать ключик админа домена с домен контроллера👀

Обещанная напоминашка по PTK😶:
Pass The Key (PTK) предназначена для сред, в которых традиционный протокол NTLM ограничен, а приоритет отдается аутентификации Kerberos. Эта атака использует NTLM-хэш (в нашей ситуации не подходит) или AES-ключи (то, что нужно) пользователя для получения билетов Kerberos, что позволяет получить несанкционированный доступ к ресурсам в сети.

Команда для линуха:

impacket-getTGT DOMAIN/username -aesKey KEY

Команда для винды:

.\Rubeus.exe asktgt /user:<USERNAME> /domain:<DOMAIN> /aes256:HASH /nowrap /opsec

Как-то так, защищайте своих админов домена, но мы все равно придём за ними 😒

#redteam

All I Want for Christmas is a CVE-2024-30085 Exploit
#windows #privesc #microsoft

Статья от StarsLab - это те самые ребята, что отрепортили пачку CVE в 1C Bitrix, так что статья как минимум достойна вашего внмания)

CVE-2024-30085 is a heap-based buffer overflow vulnerability affecting the Windows Cloud Files Mini Filter Driver cldflt.sys. By crafting a custom reparse point, it is possible to trigger the buffer overflow to corrupt an adjacent _WNF_STATE_DATA object. The corrupted _WNF_STATE_DATA object can be used to leak a kernel pointer from an ALPC handle table object. A second buffer overflow is then used to corrupt another _WNF_STATE_DATA object, which is then used to corrupt an adjacent PipeAttribute object. By forging a PipeAttribute object in userspace, we are able to leak the token address and override privileges to escalate privileges to NT AUTHORITY\SYSTEM.

➡️Читать далее
➡️Video PoC (тот же, что прикреплен к посту)
📱 Github PoC

☕️ Всех с наступающим!

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча Продажи закрыты до следующего года