Встреча знакомых
https://t.me/StoriesProPentest
Недавно общалась со своим приятелем, Джимми. Я знала, что он где-то в IT и плотно связан с компьютерами и всем, что с ними связано. На мой взгляд довольно интересно, но подробностей никогда не спрашивала. На моей памяти только один раз у него поинтересовалась про то, что у меня тормозит комп и единственным его ответом стал непонятный набор слов, про старый hdd, который надо сменить на ssd и еще про каких то крыс(RAT), которые также могу т влиять на быстродействие моего ПК. Да и единственная его рекомендация была все удалить и переустановить винду. Ну ясно-понятно, особой помощи от него ждать не пришлось.
Так вот, сидим мы значит в баре, где оказались по чистой случайности, я там просто хотела немного развеяться после тяжелой рабочей недели, да и у него тоже был какой-то довольно приятный повод, про который он мне впоследствии и поведал, когда знатно так налакался лонгайлендов.
Все нижепредсталенное является грубым пересказом всех непонятных слов, которые мне довелось услышать в тот вечер.
Сегодня я закончил проект и несказанно этому рад! О Элли, настолько интересного флоу у меня давно не встречалось, тут тебе ни MS17-010, ни bluekeep, даже PrintNightmare нигде не было!! Представляешь! Все пользователи на десятке, а серваки от 2016. Это был воистину интересный challenge!
Пригласили меня в офис, выделили рабочее место с их ПК на Win10 со всеми обновлениями и EDR на борту и говорят с такой неприятной ухмылкой, мол дерзай, покажи, что могут сделать плохие парни и удалились.
Ну чтож думаю я, глянем что у них там интересного легитимными средствами, а вечерком уже попробую подключить свой ноут. WMIC, net, nltest, SYSVOL, certutil
и другие страшные слова посыпались на меня непреодолимой лавиной непонимания и осознания чего-то безумно таинственного и раннее мной неведанного. Я даже немного возбудилась от такого энтузиазма в его глазах.
Плохо, что они политиками заблочили powershell, но я попробовал 1 лайфхак и просто скопировал из C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe в Documents с именем 1.exe и это сработало!!
Ну думаю отлично, жизнь немного налаживается, далее дело за малым. Качаем https://github.com/samratashok/ADModule и импортирум. На него винда и EDR не ругаются, так что все отлично. Едем дальше и стараемся особо не шуметь. Чекаем версии ОС в сети, все актуальные, внезапно. Оо пользаки могут читать LAPS на 1 серваке интересненько!! Сделаем заметку. Жаль правда имя у него TESTSrv03. Так, что там по SPN, несколько учеток есть. Ок записал. Из ACL особо больше ничего интересного, обидно, я так рассчитывал на какие-нибудь мисконфиги.
Вечер пришел, а с ним и факт наличия 802.1x. С флешки не подгрузиться на комп, биос залочен, а корпус какого-то эфиопа опечатан, и это обычная логистическая компания!! Лан, все равно бы не стал разбирать системник.
Благо свисток TP-Link всегда со мной. Раздадим инет и вуаля ноут на никсах со всеми плюшками и без EDR в сети. Найс.
Сразу чекаем cme на тот сервак с читаемым LAPS под админскими кредами и видим заветный PWNED. Сервак хоть и тестовый, но тем не менее пока единственная зацепка. Смотрим SAM, ну ясно привет Guest. Что там по lsassy, и вот оно!! Да это, то что мне было нужно - полное разочарование, там не было ничего. Если туда кто и заходил из админов, то из группы Protected Users.
Что за день такой, лан го брутить SPN. И какая неожиданность - из 7 учеток сбрутилось ровно ни одной. Это фиаско.
А что такое LAPS, SAM, SPN, хотела в момент драматической паузы поинтересоваться я, но вспомнила, что есть Google и при желании всегда смогу глянуть там.
Что делать, что делать. Вроде вечер, все доменные учетки у меня выгружены. Можно поспреить. Что там по политике. Да вы серьезно??? 11 символов? Да кто вы такие?
Я немного приуныл. Сходил в туалет, посидел плотненько подумал и тут вспомнил про одну незатейливую уязвимость, которую как раз недавно тестил у себя на стенде, но тут вылетело из головы. Возвращаюсь на рабочее место и в предвкушении запускаю https://github.com/Ridter/noPac c -dump -just-dc-user domain/krbtgt. Довольный выписываю себе golden ticket и иду домой спать.
Он хотел продолжить, но тут на самом деле и я уже довольно сильно накидалась и последних слов Джимми не то, что не понимала, даже разобрать толком не могла. Поэтому попрощалась и поехала домой спать, вспоминая, что ведь видела его в соседнем кабинете на этой неделе...