💻 Windows logon types

Продолжение

10 последних логонов:

Get-WinEvent -FilterHashtable @{LogName='Security';ID=4624} -MaxEvents 10 | 
ForEach-Object {
    $eventXml = [xml]$_.ToXml()
    $logonType = $eventXml.Event.EventData.Data | 
        Where-Object { $_.Name -eq 'LogonType' } | 
        Select-Object -ExpandProperty '#text'
    
    $targetUser = $eventXml.Event.EventData.Data | 
        Where-Object { $_.Name -eq 'TargetUserName' } | 
        Select-Object -ExpandProperty '#text'
    
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        LogonType = $logonType
        TargetUserName = $targetUser
        LogonID = ($eventXml.Event.EventData.Data | 
            Where-Object { $_.Name -eq 'TargetLogonId' }).'#text'
    }
} | Format-Table -AutoSize

Сбор по конкретному пользователю:

$user = 'exited3n'

Get-WinEvent -FilterHashtable @{LogName='Security';ID=4624} -MaxEvents 1000 |
ForEach-Object {
    $eventXml = [xml]$_.ToXml()
    $logonType = $eventXml.Event.EventData.Data | Where-Object { $_.Name -eq 'LogonType' } | Select-Object -ExpandProperty '#text'
    $targetUser = $eventXml.Event.EventData.Data | Where-Object { $_.Name -eq 'TargetUserName' } | Select-Object -ExpandProperty '#text'
    $logonId = $eventXml.Event.EventData.Data | Where-Object { $_.Name -eq 'TargetLogonId' } | Select-Object -ExpandProperty '#text'

    if ($targetUser -imatch $user) {
        [PSCustomObject]@{
            TimeCreated     = $_.TimeCreated
            LogonType       = $logonType
            TargetUserName  = $targetUser
            LogonID         = $logonId
        }
    }
} | Select-Object -First 1000 | Format-Table -AutoSize

Текущие на wmi:

Get-WmiObject -Class Win32_LogonSession | 
Where-Object { $_.LogonType} | 
ForEach-Object {
    $session = $_
    Get-WmiObject -Query "Associators of {Win32_LogonSession.LogonId='$($session.LogonId)'} Where AssocClass=Win32_LoggedOnUser Role=Dependent" | 
    Select-Object @{n='User';e={$_.Name}}, @{n='LogonType';e={$session.LogonType}}
}

#windows #logons #redteam

✈️ Whitehat Lab 💬 Chat

💻 Windows logon types

Сегодня решил написать о типах логона, учитывая количество вопросов по данному поводу, становится совершенно очевидно, что многим, особенно начинающим, этот момент не понятен

И что же это такое ?

Типы логонов - ключевой элемент в понимании того, как и откуда пользователи и процессы получают доступ к Windows системам и ресурсам 💻 Active Directory

Немножко базы:

Interactive (2) Локальный, т.н. logon locally
Network (3) Сетевой, доступ к ресурсам по сети, например, к общим папкам
Batch (4) Пакетное задание, используется при выполнение заданий через планировщик
Service (5) Вход службы
Unlock (7) Разблокировка рабочего стола после блокировки экрана.
NetworkCleartext (8) Сетевой с передачей учетных данных в открытом виде (например, базовая аутентификация IIS).
NewCredentials (9) Вход с новыми учетными данными
RemoteInteractive (10) Удалённый интерактивный
CachedInteractive (11) Локальный интерактивный с кэшированными данными, например, при недоступности DC
CachedRemoteInteractive (12) Удалённый вход с кэшированными учетными данными
CachedUnlock (13) Разблокировка с кэшированными учетными данными

📌И некоторые примеры присвоения определенного типа:

Interactive (2)

Console logon
RUNAS

Network (3)

NET USE
RPC вызовы
Evil-WinRM
Impacket-wmiexec и т.д.
Удаленный реестр
IIS Windows аутентификация
SQL Windows аутентификация

Batch (4)

Задания планировщика

Service (5)

Службы (services.msc)

NetworkCleartext (8)

PowerShell с CredSSP

NewCredentials (9)

RunAs с параметром /netonly

RemoteInteractive (10)

Удаленный рабочий стол (RDP)

❓ Нам то какая разница какой тип логона используется ?
Разница довольно таки большая, например при работе с DPAPI

При интерактивном входе (2) пользователь полноценно аутентифицирован в системе, и у него есть доступ к своим мастер-ключам

При сетевом входе (3) происходит аутентификация по сети, но контекст безопасности и доступ к мастер-ключам отсутствует или ограничен. Это связано с тем, что сетевая аутентификация не создаёт полноценной интерактивной сессии

‼️ Не получаете желаемого результата, имейте это ввиду
Каждый уважающий себя C2 умеет ими манипулировать, типа такого - token make domain.local user Password123 LOGON_INTERACTIVE

❓ И как же нам определить тип логона ?

Простой команды аля whoami к сожалению нет
Каждый вход в Windows создаёт сессию с определённым типом логона, который фиксируется в журнале безопасности (например, в событии с ID 4624)

Я написал 3 powershell 💻 скрипта для определения

Первый выведет 10 последних логонов
Второй может собирать по конкретному пользователю
Третий на wmi покажет текущие

Но они не влезли в данный пост, поэтому положу их в другой

#windows #logons #redteam

✈️ Whitehat Lab 💬 Chat

🔄😉 BloodHound CE v7.3.1

Обновление инструмента для выявления связей и построения графов в 💻 Active Directory. Достаточно учетной записи доменного пользователя.
Отличный инструмент при пентесте 💻 AD среды.
Для сбора информации используются коллекторы bloodhound-ce или SharpHound

Bonus:

BadSuccessor query - dMSA (delegated Managed Service Account) в Windows Server 2025

MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH COLLECT(c1.name) AS dcs MATCH (c2:Computer) WHERE c2.enabled = true AND (c2.operatingsystem contains '2025') AND (c2.name IN dcs) RETURN c2.name

Установка:

curl -L https://ghst.ly/getbhce | docker compose -f - up

https://localhost:8080/ui/login

Логин admin и сгенерированный пароль

Для обновления переходим в директорию с docker-compose.yml и запускаем:

docker compose pull && docker compose up

Сбор информации:

python3 bloodhound-python -u domain_user -p 'P@ss' -ns 10.0.0.1 -d contoso.com -c all --dns-tcp

Neo4j запросы:

# Domain Admins и время установки пароля
MATCH (g:Group) WHERE g.name =~ "(?i).*DOMAIN ADMINS.*" WITH g MATCH (g)<-
[r:MemberOf*1..]-(u) RETURN u.name AS User,
datetime({epochSeconds:toInteger(u.pwdlastset)}) as passwordLastSet, datetime({epochSeconds: toInteger(u.whencreated)}) AS dateCreated ORDER BY u.pwdlastset

# Сервисные УЗ, время установки пароля, дата создания
MATCH (u:User) WHERE u.hasspn=true AND (NOT u.name STARTS WITH 'KRBTGT') RETURN u.name
AS accountName, datetime({epochSeconds: toInteger(u.pwdlastset)}) AS passwordLastSet,
datetime({epochSeconds: toInteger(u.whencreated)}) AS dateCreated ORDER BY u.pwdlastset

# Пользователи и описание
MATCH (u:User) RETURN u.name as username, u.description as description

# Domain Admins или Administrators с сессией исключая DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH
COLLECT(c1.name) AS domainControllers
MATCH (n:User)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-512' OR
g.objectid ENDS WITH '-544'
MATCH p = (c:Computer)-[:HasSession]->(n) WHERE NOT c.name in domainControllers return
p

# Неограниченное делегирование исключая DC
MATCH (c1:Computer)-[:MemberOf*1..]->(g:Group) WHERE g.objectid ENDS WITH '-516' WITH
COLLECT(c1.name) AS domainControllers
MATCH (c:Computer {unconstraineddelegation:true}) WHERE NOT c.name IN domainControllers
RETURN c

# Пользователи с ограниченным делегированием
MATCH p = ((u:User)-[r:AllowedToDelegate]->(c:Computer)) RETURN p

Подробный гайд:

➡️ The Ultimate Guide BHCE
➡️ Адаптация на русском

ADCS атаки:

➡️ Part 1
➡️ Part 2
➡️ Part 3

Ссылки:

💻 Home
💻 Download
➡️ Docs

P.S. Сам таки полностью перешел на CE версию и legacy использовать больше желания нет 👍😅

#bloodhound #pentest #active_directory #soft #bhce

✈️ Whitehat Lab 💬 Chat

⚙️ BadSuccessor

📔 Research

Подборка:

💻 Checker - akamai BadSuccessor

💻 https://github.com/cybrly/badsuccessor
💻 https://github.com/logangoins/SharpSuccessor
💻 https://github.com/ibaiC/BadSuccessor
💻 https://github.com/hocinewalid/BadSuccessor
💻 dMSASync.py

#windows #redteam #poc #dmsa

✈️ Whitehat Lab 💬 Chat

😎 Standoff 15

Плюс ачивка 🏁

P.S. Жду медальку и картонку 😅

#event #standoff

✈️ Whitehat Lab 💬 Chat

📽 Репозиторий и по совместительству сайт с подборкой фильмов на IT тематику

😉 Movies for hackers
💻 Repo

#list #movies #interesting

✈️ Whitehat Lab 💬 Chat

💻 PurpleSharp v1.3

Интересный инструмент для моделирования различных типов атак, с целью создания телеметрии в контролируемых средах 💻 Windows

❗️ 47 уникальных атак

💻 Home
💻 AD Purple Team Playbook

#purpleteam #csharp #soft

✈️ Whitehat Lab 💬 Chat

⚙️ BadSuccessor

Очень подробный research

#poc #windows #badsuccessor

✈️ Whitehat Lab 💬 Chat

⚙️ BountyOS

Заказывали OS для bug bounty? 😅
Тогда получайте, дистрибутив основанный на 12ом 💻 Debian c большим количеством специализированных инструментов, по заверению автора также включает эксклюзивные тулзы. Поддерживает amd64 и arm64 архитектуры

ПО:

Recon: amass, subfinder, assetfinder
Scanning: nuclei, httpx, dalfox, gf, waybackurls
Brute Forcing: ffuf, dirsearch, wordlists
Networking: massdns, dnsx, masscan
Testing: Burp Suite, OWASP-ZAP, Sqlmap
OSINT: theHarvester, recon-ng, etc..

Полный список тут

😉 Home
💻 Rep

P.S. Считаю, что брать надо уже только из-за черно-зеленого оформления 😂

#bountyos #debian #bug

✈️ Whitehat Lab 💬 Chat

🦎 AdaptixC2 v0.5

Большой обзор (english)

⭐️Возможности:

Server/Client Architecture for Multiplayer Support
Cross-platform GUI client
Fully encrypted communications
Listener and Agents as Plugin (Extender)
Client extensibility for adding new tools
Task and Jobs storage
Files and Process browsers
Socks4 / Socks5 / Socks5 Auth support
Local and Reverse port forwarding support
BOF support
Linking Agents and Sessions Graph
Agents Health Checker
Agents KillDate and WorkingTime control
Windows/Linux/MacOs agents support
Remote Terminal

⚙️Установка/Запуск 💻:

sudo apt install golang-1.23 mingw-w64 make
sudo ln -s /usr/lib/go-1.23/bin/go /usr/local/bin/go

sudo apt install make cmake libssl-dev qt6-base-dev qt6-websockets-dev

git clone https://github.com/Adaptix-Framework/AdaptixC2.git
cd AdaptixC2
make server
make extenders
make client
cd dist
chmod +x ssl_gen.sh
./ssl_gen.sh

./adaptixserver -profile profile.json
./AdaptixClient

💻 Rep
💻 Extension-Kit
📔 Docs
✈️ Channel
✈️ Group

#adaptixc2 #redteam #soft

✈️ Whitehat Lab 💬Chat

🖥️ OpenIDE v2024.3.5

Для кодинга на 😰 Python много лет использовал 💻 PyCharm и меня все устраивало, но последнее время это стало немного затруднительно, чтобы обновить плагины или саму IDE, каждый раз необходимо включать VPN, а я ленивый 😅

Вот так и нашел OpenIDE, построена на базе IntelliJ IDEA, по умолчанию поддерживает Java и Kotlin (эти оба два не особо интересны😁), но после установки плагина Python Community Edition превращается в родную и любимую IDE. Обещают подвести поддержку Go и Rust, будет совсем хорошо 👍

В общем мне зашло, могу рекомендовать

🔗 Home
🔗 Download
🔗 Sources
🔗 Marketplace
🔗 OpenIDE EAP (beta)

#openide #ide #soft

✈️ Whitehat Lab 💬Chat

😎 Standoff 15

Забрал вчера медальку, в этот раз красивое 👍😁

#event #standoff

✈️ Whitehat Lab 💬Chat

🖼️ Репозиторий с вопросами и упражнениями по различным темам для DevOps и SRE

💻 Rep

P.S. В этом посте лаборатория с практическими заданиями

#devops #sre

✈️ Whitehat Lab 💬Chat

🙃 HTB Certified Active Directory Pentesting Expert (HTB CAPE)

Хороший товарищ пишет рецензию, очень подробный отзыв по курсу в целом и экзамену в частности

Будет ли вам интересен данный материал ? Если да, то ставим Гэндальфа 🧙

🔗 HTB CAPE

Коротко о курсе:

Интенсивный обучающий курс, который охватывает широкий спектр техник и инструментов для проведения пентеста 💻 Active Directory. Курс не предназначен для начинающих в области кибербезопасности, а вот опытные специалисты смогут найти для себя много полезного

#htb #cert #exam

✈️ Whitehat Lab 💬Chat

💻 ADCS Attack Techniques Cheatsheet

И в дополнение к предыдущему посту, сравнительная табличка по инструментам

Отличная шпаргалка по атакам на ADCS
Разобраны основные инструменты для проверки и эксплуатации уязвимостей

😹 Certipy
😹 Certify
😹 PSPKIAud
😹 LSmith
😹 BloodHound
😹 Certi
😹 Adalanche
😹 PingCastle
😹 impacket
😹 Metasploit

💻 Cheatsheet

#adcs #active_directory #windows #esc #pentest

✈️ Whitehat Lab 💬Chat