Сегодня я продемонстрирую повышение привилегий в сети на основе Windows через эксплуатацию цепочки разрешений и уязвимости ESC4 в службе сертификации Active Directory. Сессию на хосте мы получим через Microsoft SQL, а учетные данные для продвижения найдем в файлах с настройками.

Мы проводили пентест одной большой компании с хорошим бюджетом на ИБ и обнаружили баг в коробочном решении WebTutor. Эта уязвимость позволила нам получить доступ во внутреннюю сеть, где мы столкнулись с EDR и антивирусом. Обойти их помогла возможность исполнять команды из запросов к БД.

Сегодня я покажу, как через запросы к серверу MS SQL можно получить сессию на хосте. Но прежде используем ошибку в логике приложения и повысим привилегии на сайте через IDOR. А получив доступ к Windows, вытащим учетные данные пользователя из дампа оперативной памяти и захватим контроллер домена, применив технику RBCD.