Good in study, attitude and health

  • 域渗透——使用Exchange服务器中特定的ACL实现域提权

    0x00 最近学到的一个域环境下的提权技巧,在域环境中,安装Exchange后会添加一个名为Microsoft Exchange Security Groups的OU,其中包括两个特殊的组:Exchange Trusted Subsystem和Exchange Windows Permission,如果获得了这两个组内任意用户的控制权限,就能够继承该组的WriteDACL权限,进而修改域对象的ACL,最终实现利用DCSync导出域内所有用户hash。接下来可以使用域用户krbtgt的hash制作Golden Ticket,登录域控制器,获得对整个域的控制权限。 学习资料: https://github.com/gdedrouas/Exchange-AD-Privesc 本文将会记录复现过程,介绍利用这个机制建立提权后门的方法,详细介绍使用PowerView对域对象ACL的操作方法,最后给出检测和防御建议。 0x01 简介 本文将要介绍以下内容: 提权方法复现 建立提权后门的方法 检测和防御建议 0x02 提权方法复现 测试环境: Server2012R2 x64 Exchange 2013 前置知识 1.常用缩写词 DN:Distinguished Name CN:Common Name OU:Organizational Unit DC:Domain Component ACE:Access Control Entries ACL:Access Control List LDAP连接服务器的连接字串格式为:ldap://servername/DN 其中DN有三个属性,分别是CN、OU和DC 2.安装Exchange后默认会自动添加一个名为Microsoft Exchange Security Groups的OU 如下图 其中包括两个特殊的组:Exchange...

  • SharpSniper利用分析

    0x00 前言 SharpSniper用于在域环境中找到指定域用户的IP地址,需要具有读取域控制器日志的权限,地址:https://github.com/HunnicCyber/SharpSniper 本文将要对SharpSniper的实现原理进行分析,扩展用法,分别介绍如何使用wevtutil.exe和powershell脚本实现相同的功能,分享其中需要注意的细节。 0x01 简介 本文将要介绍以下内容: SharpSniper实现原理 使用wevtutil实现 使用powershell实现 0x02 SharpSniper实现原理 通过查询域控制器上的用户登录日志(Event ID:4624),获得域用户使用过的IP地址 具体实现如下: 1.通过查询日志获得域用户使用过的IP XPath查询条件(以查询用户testb为例): "Event[System[(EventID=4624)] and EventData[Data[@Name='TargetUserName']='testb']]" 对应代码地址: https://github.com/HunnicCyber/SharpSniper/blob/master/QueryDC.cs#L16 2.通过正则表达式过滤出域用户使用过的IP 正则表达式: "\b\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\b" \b表示单词的前或后边界 \d{1,3}表示字符个数在1到3位之间 .表示匹配字符”.” 对应代码地址: https://github.com/HunnicCyber/SharpSniper/blob/master/Program.cs#L54 0x03 使用wevtutil实现 1.查询指定用户(以查询用户testb为例)的登录日志 cmd命令如下: wevtutil qe security /format:text /q:"Event[System[(EventID=4624)] and EventData[Data[@Name='TargetUserName']='testb']]" 包括每条日志的详细信息,如下图 2.从详细信息中提取出ip 这里可以借助find命令进行筛选 cmd命令如下: wevtutil qe security /format:text /q:"Event[System[(EventID=4624)]...

  • GookitBankingTrojan中的后门利用分析

    0x00 前言 Gootkit Banking Trojan在2014年被首次发现,最近Daniel Bunce(@ 0verfl0w_)介绍了一些对于Gootkit Banking Trojan的分析,文章地址如下: https://www.sentinelone.com/blog/gootkit-banking-trojan-persistence-other-capabilities/ 其中,Gootkit Banking Trojan使用的后门启动方法是独有的,所以本文仅在技术研究的角度复现Gootkit Banking Trojan使用的后门启动方法,分析利用思路,给出防御和检测的建议。 0x01 简介 本文将要介绍以下内容: 原理介绍 inf文件的基础知识 复现后门启动方法 分析利用方法 检测和防御建议 0x02 原理介绍 explorer.exe在运行时会加载特定的组策略对象(GPO),其中包括Internet Explorer Administration Kit(IEAK)的GPO 如果通过添加注册表的方式为IKAK创建一个Pending GPO,指向一个inf文件,那么在explorer.exe启动时,就会加载这个Pending GPO,执行inf文件中的内容 这个方法的优点是不需要管理员权限 0x03 inf文件的基础知识 inf全称Device INFormation File,是Microsoft为硬件设备制造商发布其驱动程序推出的一种文件格式 对大小写不敏感 文件格式: 由多个节组成,节名用方括号括起来 值得注意的节: 1.Version节 inf文件都包含这个节,用来描述支持的设备类型和适用的操作系统 signature="$CHICAGO$表示该inf文件适用于Windows98之后的所有操作系统 signature="$Windows NT$"表示该inf文件适用于Windows 2000/XP/2003操作系统 2.DefaultInstall节 默认情况下首先执行该节内的内容,通常包括文件拷贝、删除,注册表键值的更新,子键删除等功能,还支持执行命令:...

  • 《MiniDumpWriteDump via COM+ Services DLL》的利用测试

    0x00 前言 最近学习了odzhan文章中介绍的一个技巧,使用C:\windows\system32\comsvcs.dll的导出函数MiniDump能够dump指定进程的内存文件。 文章地址: https://modexp.wordpress.com/2019/08/30/minidumpwritedump-via-com-services-dll/ 本文将要结合自己的经验,补充在测试过程中需要注意的地方,扩展方法,分析利用思路。编写powershell脚本,实现自动化扫描系统目录下所有dll的导出函数,查看是否存在其他可用的dll,介绍脚本实现的细节。 0x01 简介 本文将要介绍以下内容: dump指定进程内存文件的常用方法 使用comsvcs.dll实现dump指定进程内存文件的方法 编写脚本实现自动化扫描dll的导出函数 利用分析 0x02 dump指定进程内存文件的常用方法 在渗透测试中,最常用的方法是通过dump进程lsass.exe,从中获得明文口令和hash 在原理上都是使用API MiniDumpWriteDump,参考资料: https://docs.microsoft.com/en-us/windows/win32/api/minidumpapiset/nf-minidumpapiset-minidumpwritedump 常用的实现方法如下: 1.procdump 参数如下: procdump.exe -accepteula -ma lsass.exe lsass.dmp 2.c++实现 https://github.com/killswitch-GUI/minidump-lib 3.powershell实现 https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Out-Minidump.ps1 4.c#实现 https://github.com/GhostPack/SharpDump 0x03 使用comsvcs.dll实现dump指定进程内存文件的方法 odzhan在文中给出了三种方法 1.通过rundll32 示例参数如下: rundll32 C:\windows\system32\comsvcs.dll, MiniDump 808 C:\test\lsass.dmp full 示例中lsass.exe的pid为808 注: 此处需要注意权限的问题,在dump指定进程内存文件时,需要开启SeDebugPrivilege权限 管理员权限的cmd下,默认支持SeDebugPrivilege权限,但是状态为Disabled,如下图 所以说,直接在cmd下执行rundll32的命令尝试dump指定进程内存文件时,由于无法开启SeDebugPrivilege权限,所以会失败 这里给出我的一个解决方法:...

  • Webmin<=1.920-Unauthenticated_RCE(CVE-2019-15107)利用测试

    0x00 前言 2019年8月10日,Ozkan(@ehakkus)在DEFCON AppSec Village公开了一个0 day,1.930以下版本的Webmin存在远程代码执行漏洞,文章地址如下: https://pentest.com.tr/exploits/DEFCON-Webmin-1920-Unauthenticated-Remote-Command-Execution.html 我对这个漏洞进行了跟踪研究,本文将要记录测试过程,根据漏洞原理使用Python编写一个POC,并给出防御建议 0x01 简介 本文将要介绍以下内容: 漏洞简介 搭建测试环境 使用Burp Suite复现漏洞 使用Python编写POC 0x02 漏洞简介 Webmin是基于Web的Unix系统管理工具,简单理解:使用Webmin能够通过浏览器远程管理Unix系统的主机 1.930以下版本的Webmin存在远程代码执行漏洞,当Webmin的Password expiry policy设置为Prompt users with expired passwords to enter a new one时(默认设置为Always deny users with expired passwords),通过构造特殊格式的POST包,能够实现远程代码执行 0x03 搭建测试环境和漏洞复现 测试系统: Centos7 x64 IP:192.168.112.181 1.安装perl和依赖库 yum -y install perl yum -y install...

  • 利用IIS的端口共享功能绕过防火墙

    0x00 前言 我最近在思考这样一个问题: Windows服务器开启了IIS服务,防火墙仅允许80或443端口进行通信,那么如何在不使用webshell的前提下,实现对该服务器的远程管理?更进一步,如果只有低权限,有没有办法呢? 0x01 简介 本文将要介绍以下内容: HTTP.sys和端口共享 WinRM服务 HTTP Server API 针对80和443端口的利用方法 针对高权限和低权限的利用方法 检测方法 0x02 基本概念 1.HTTP.sys和端口共享 微软在Windows 2003 Server加入了内核驱动程序(Http.sys),用于侦听http流量并根据URL进行处理,允许任意用户进程共享专用于HTTP流量的TCP端口 也就是说,通过HTTP.sys,多个进程将能够侦听同一端口上的HTTP流量 可以使用Netsh命令来查询和配置HTTP.sys设置和参数,参考资料如下: https://docs.microsoft.com/en-us/windows/win32/http/netsh-commands-for-http 列出所有URL的DACL,命令如下: netsh http show urlacl 系统默认包括10个DACL,其中的两个对应WinRM服务,具体信息如下: Reserved URL : http://+:5985/wsman/ User: NT SERVICE\WinRM Listen: Yes Delegate: No User: NT SERVICE\Wecsvc Listen: Yes Delegate: No SDDL: D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147...

  • 对APT34泄露工具的分析——Jason

    0x00 前言 Jason是由Lab Dookhtegan在2019年6月3日泄露的另一款工具,用于Exchange账户的暴力破解 然而,泄露的这款工具虽然包括源码,但存在一些bug,无法正常使用 本文不会分析Jason和APT34之间的关联,仅在技术研究的角度,修复Jason的bug,恢复Jason的功能,分析使用的技术,同其他开源工具做横向比较 注: 之前关于APT34的分析文章: 《对APT34泄露工具的分析——PoisonFrog和Glimpse》 《对APT34泄露工具的分析——HighShell和HyperShell》 0x01 简介 本文将要介绍以下内容: Jason的开源资料 修复Jason的bug 实际测试Jason 同其他开源工具的横向比较 0x02 Jason的开源资料 Jason最早泄露于Telegram的频道:https://t.me/lab_dookhtegana p3pperp0tts将其上传至Github,地址如下: https://github.com/p3pperp0tts/APT34/tree/master/Jason 文件夹decompiled_code内为Jason的源码 Jason采用EWS Managed API来实现对Exchange资源的访问 注: 关于EWS Managed API的使用细节可参考之前的文章《Exchange Web Service(EWS)开发指南》 经过简单的修复,我在VS2015下能够编译成功 但在测试环境中,Jason无法识别正确的邮箱用户名和口令,所有测试结果均失败 0x03 修复Jason的bug 编译环境: VS2015 为了恢复正常功能,源代码需要修改以下4个位置 1.添加Microsoft.Exchange.WebServices.dll的引用 我这里是将Microsoft.Exchange.WebServices.dll放在工程的同级目录下,并做了引用 2.证书信任策略的bug修正 位置:Form1.cs 原代码: ServicePointManager.ServerCertificateValidationCallback = ((object <p0>, X509Certificate <p1>,...

  • 域渗透——AdminSDHolder

    0x00 前言 AdminSDHolder是一个特殊的AD容器,具有一些默认安全权限,用作受保护的AD账户和组的模板 Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组,以防止意外和无意的修改并确保对这些对象的访问是安全的 如果能够修改AdminSDHolder对象的ACL,那么修改的权限将自动应用于所有受保护的AD账户和组,这可以作为一个域环境权限维持的方法 本将要参考公开资料,结合自己的理解,介绍利用方法,补全清除ACL的方法,分析检测方法 0x01 简介 本文将要介绍以下内容: 利用思路 如何枚举受保护的AD账户和组中的信息 如何查询AdminSDHolder对象的ACL 如何向AdminSDHolder对象添加ACL 删除AdminSDHolder中指定用户的ACL 完整利用方法 检测建议 0x02 利用思路 1.枚举受保护的AD账户和组中的信息 通常为域内高权限用户,在我的Server2008R2下包含以下组: Administrators Print Operators Backup Operators Replicator Domain Controllers Schema Admins Enterprise Admins Domain Admins Server Operators Account Operators Read-only Domain Controllers Organization Management Exchange Trusted Subsystem 2.向AdminSDHolder对象添加ACL 例如,添加用户testa对AdminSDHolder的完全管理权限,默认60分钟以后会自动推送权限配置信息,testa随即获得对所有受保护帐户和组的完全管理权限 3.获得对整个域的控制权限...

  • 域渗透——AS-REPRoasting

    0x00 前言 AS-REP Roasting同Kerberoasting类似,如果满足条件,就能够获得用户口令的hash,再结合hashcat进行破解,最后能够还原出用户的明文口令。 本文将要参考公开资料,结合自己的理解,介绍AS-REP Roasting的利用方法,最后给出防御建议。 0x01 简介 本文将要介绍以下内容: AS-REP Roasting的原理 AS-REP Roasting的利用条件 AS-REP Roasting的利用方法 破解hash的方法 防御建议 0x02 AS-REP Roasting 1.简介 对于域用户,如果设置了选项”Do not require Kerberos preauthentication”,此时向域控制器的88端口发送AS-REQ请求,对收到的AS-REP内容重新组合,能够拼接成”Kerberos 5 AS-REP etype 23”(18200)的格式,接下来可以使用hashcat对其破解,最终获得该用户的明文口令 2.利用前提 域用户设置了选项”Do not require Kerberos preauthentication” 通常情况下,该选项默认不会开启 3.利用思路 通常在域渗透中用来维持权限 需要先获得对指定用户的GenericWrite权限,利用思路如下: 开启用户选项”Do not require Kerberos preauthentication” 导出hash并破解 关闭用户选项”Do not require Kerberos...

  • 域渗透——DCSync

    0x00 前言 DCSync是域渗透中经常会用到的技术,本文会对开源的资料进行整理,结合自己的经验,总结利用和防御检测的方法 0x01 简介 本文将要介绍以下内容: 利用DCSync导出域内所有用户hash的方法 利用DCSync在域内维持权限的方法 自动化检测DCSync后门的方法 0x02 利用DCSync导出域内所有用户hash的方法 DCSync是mimikatz在2015年添加的一个功能,由Benjamin DELPY gentilkiwi和Vincent LE TOUX共同编写,能够用来导出域内所有用户的hash 利用条件: 获得以下任一用户的权限: Administrators组内的用户 Domain Admins组内的用户 Enterprise Admins组内的用户 域控制器的计算机帐户 利用原理: 利用DRS(Directory Replication Service)协议通过IDL_DRSGetNCChanges从域控制器复制用户凭据 参考资料: https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-drsr/f977faaa-673e-4f66-b9bf-48c640241d47 实现代码: https://github.com/gentilkiwi/mimikatz/blob/master/mimikatz/modules/lsadump/kuhl_m_lsadump_dc.c#L27 利用方法: 1.使用mimikatz 导出域内所有用户的hash: mimikatz.exe "lsadump::dcsync /domain:test.com /all /csv" exit 导出域内administrator帐户的hash: mimikatz.exe "lsadump::dcsync /domain:test.com /user:administrator /csv" exit 2.powershell实现 https://gist.github.com/monoxgas/9d238accd969550136db...