Итак, продолжаем заниматься импортозамещением учиться быть настоящим Red Team'ом и не использовать mimikatz! Недавно у меня вышла статья по инжекту тикетов с помощью плюсовой программы. Но потом мы вспоминаем об антивирусах и становится не так весело. Каждый раз брать проект, добавлять защиту, перекомпиливать... не вариант.
Поэтому появилась идея создания инжектора билетов на Powershell. Во-первых, это удобно, во-вторых, защищать и обфусцировать намного быстрее. Есть как готовые фреймворки , так и статьи с инструкциями.

Результатом работы стал небольшой скрипт, который должен помочь атакующему во время тестирования на проникновение. Теперь вы можете инжектить тикеты, используя Powershell! Поддерживаются два режима работы:
1. Инжект тикета, предоставленного в файле .kirbi
2. Инжект тикета, предоставленного в формате base64

Полный код можно увидеть на моем гитхабе


По любым вопросам, болячкам и возможным недочетам тулзы смело пишите мне :)

🔥 TGT Delegation Attack

TL;DR
Получить TGT пользователя, от лица которого у нас шелл:
Rubeus tgtdeleg /nowrap

kekeo tgt::deleg

Принцип работы:
Одна из самых интересных атак, в ходе которой у атакующего появляется возможность получения TGT-билета пользователя, просто имея лишь шелл от его лица. Сама атака основана на том, что запрос AP-REQ, содержащий TGT билет, передается в пользовательский контекст. Билет TGT будет содержаться в AP-REQ по той причине, что мы обращаемся к службе с неограниченным делегированием. А службе с неограниченным делегированием он нужен потому, что она служба с неограниченным делегированием :) Благодаря этому TGT служба сможет олицетворять клиента. AP-REQ шифруется на сессионном ключе, который клиент получает в запросе TGS-REP. Этот сессионный ключ необходим для безопасной и зашифрованной связи с целевой службой. Этот сессионный ключ после получения будет находиться в памяти процесса lsass (точнее, внутри пакета аутентификации Kerberos), поэтому мы можем легко взять этот ключ, а затем использовать его для расшифровки AP-REQ. А из AP-REQ не составит проблем извлечь TGT текущего пользователя. Эта атака может быть выполнена даже от лица низкопривилегированной учетной записи.

Вопреки распространенному мнению, хочу отметить, что в ходе атаки все равно будет присутствовать взаимодействие с LSA. Так как именно из LSA мы сможем получить сессионный ключ для декрипта AP-REQ.

Но где же взять службу с неограниченным делегированием? По умолчанию все контроллеры домена настроены на неограниченное делегирование.

Особенности написания собственного инструментария:

Во-первых, я принял решение о том, что следовало бы добавить два различных режима работы:
- С указанием SPN целевой службы
- С указанием домена (автоматический поиск службы с неограниченным делегированием)

Но почему же инструмент выводит только сессионный ключ и AP-REQ? А где TGT?

Проблема в том, что kekeo и Rubeus используют неописанный криптоинтерфейс Windows (CDLocateCSystem()) для расшифровки AP-REQ. А использование этого криптоинтерфейса обычными программами очень редко, поэтому почти все EDR сразу пометят наш инструмент как вредоносный. Вот фрагменты кода, в которых эта функция вызывается:

- https://github.dev/gentilkiwi/kekeo/blob/de98fa66790d8d3ed37a43879d7213ea218a2ed6/kekeo/modules/kuhl_m_tgt.c#L510

- https://github.dev/gentilkiwi/kekeo/blob/d3ee2ae2fdeb5581fe2be1d53838f66729c3de16/modules/asn1/kull_m_kerberos_asn1_crypto.c#L86

- https://github.dev/GhostPack/Rubeus/blob/dd5472f5af3ee71a99eed2f890e4edb7b80ebf18/Rubeus/lib/Crypto.cs#l123


А вот описание этой функции в гугле:
- https://imgur.com/a/wKGRv4k

Но не стоит отчаиваться. Мы можем просто взять сессионный ключ и AP-REQ, а расшифровку провести просто на машине атакующего, что будет, конечно, чуточку медленнее, но зато наш инструментарий останется более чистым, незаметным и легитимным.

В дальнейшем с полученным TGT можно постоянно обновлять тикет через Rubeus renew .

Возможно ты захочешь отдать тикет в rubeus changepw , но это, пока по неизвестным для меня причинам, не увенчается успехом:
- https://imgur.com/a/2WyAuLg

Уязвимости в функциях загрузки файлов очень распространены.

При проведении анализа защищенности веб-приложений, важно знать, как обойти ограничения, так как это часто приводит к полной компрометации системы. А для разработчиков и инженеров полезно знать, как такие атаки происходят, чтобы корректно реализовать механизмы защиты.

Минимальный набор проверок File Upload:

→ Попробуйте различные расширения файлов: используйте разные варианты расширений файлов, например, php3, php4, php5, phtml для PHP-скриптов, asp, aspx и ashx для IIS. Список можно взять тут: https://github.com/danielmiessler/SecLists

→ Добавьте дополнительное расширение файла: если приложение не проверяет правильность расширения файла — добавьте еще одно расширение, например, из script.php в script.gif.php

→ Неправильная реализация Regex: например, некорректное регулярное выражение ".png|.jpeg" можно обойти с помощью следующей нагрузки bypasspng.php.

→ Измените регистр расширения: попробуйте разные комбинации строчных и прописных букв, например, pHp, PhP, phP, Php и т.д.

→ Приложение позволяет загружать файлы .svg?: SVG изображения — это просто данные XML. Используя XML, можно, например, добиться XSS.

→ Измените тип контента: при перехвате запроса с помощью Burp Suite, тип контента можно изменить, например, с "Content-type: application/x-php" на "Content-type: image/gif"

→ Добавьте magic байт в файл: магические байты служат подписями, которые используются веб-сервером для определения типа загружаемого файла. Например, добавив GIF87a в начало скрипта, сервер будет считать его файлом GIF. Например : Filename='1.php' , filetype: image/gif и начните содержимое файла с GIF29a

→ Попробуйте уменьшить размер файла: если используется ограничение размера файла, можно загрузить меньший скрипт для удаленного выполнения кода.

→ Попробуйте использовать исполняемые расширения: могут быть разрешены определенные исполняемые расширения, например .phtml, .shtml, .asa, .cer, .asax, .swf, или .xap.

→ Добавьте нулевой байт в имя файла: если сайт использует белые списки расширений файлов, их часто можно обойти, добавив %00 (HTML) или \x00 (hex) в конец имени файла. Например: php-reverse-shell.php%00.gif

→ Добавьте специальные символы перед расширением файла: на старых веб-серверах, добавление специальных символов, таких как ;%$&, сразу после имени файла, например, shell;.php, может помочь обойти белые списки расширений файлов.

→ Вставьте данные EXIF: исполняемый скрипт может быть вставлен в изображение в форме метаданных комментария, который затем будет выполнен, если веб-сервер обрабатывают эти данные.

→ Попробуйте использовать обозначение Windows 8.3 для имени файла: можно использовать короткую версию имени файла Windows 8.3. Например, shell.aspx станет SHELL~1.ASP

→ Попробуйте добавить нейтральные символы после имени файла: специальные символы, такие как пробелы или точки в Windows, или точки и слэши в Linux в конце имени файла, будут автоматически удалены (например, shell.aspx … … . . .. .., file.asp.).

→ Обход каталога: попробуйте использовать вместо имени файла ../../../../etc/passwd и подобные, возможно, вы наткнетесь на новую уязвимость

Полезные ссылки:

- Перезапись файла конфигурации сервера
- Обфускация расширений файлов
- Race condition при загрузке файлов
- Небезопасная десериализация, ведущая к полному захвату сервера
- OWASP Unrestricted File Upload

Накидывайте еще способы обхода и полезные ссылки по теме в комментарии!