域权限提升漏洞CVE-2022-26923在MAQ=0时的利用分析

最新推荐文章于 2023-07-04 07:00:00 发布
最新推荐文章于 2023-07-04 07:00:00 发布
阅读量606 收藏 2
点赞数
文章标签: 网络 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2207/article/details/129441351
版权
本文详细介绍了CVE-2022-26923这一Active Directory域权限提升漏洞在MAQ=0情况下的利用方法。当不允许创建机器账户时,利用现有机器账户,通过修改密码,利用SAMR协议和certipy工具,逐步提升权限至域管理员。文章详述了每一步的具体操作,包括环境准备、修改机器账户密码、利用漏洞以及善后措施,强调了打补丁和升级的重要性。
摘要由CSDN通过智能技术生成

零、漏洞回顾

Active Directory 域权限提升漏洞(CVE-2022-26923 ),允许低权限用户在安装了 Active Directory 证书服务
(AD CS) 服务器角色的默认 Active Directory 环境中将权限提升到域管理员。

一、场景

MAQ,即MS-DS-Machine-Account-Quota,此属性是允许域普通用户在域中创建的机器帐户的数量。

一般普通域用户可以新建10个机器账户,即MAQ=10。但是如果你进到一个域环境,发现当前域不允许新建机器账户(MAQ=0),也没有任何机器账户的权限,仅有域内普通账户权限一枚。这种情况下,如何利用
CVE-2022-26923 Windows Active Directory 域服务组件权限提升这个漏洞呢?

查看MAQ的值:

python3 bloodyAD.py -d pentest.com -u saul -p 'admin!@#45' --host 10.10.100.8 getObjectAttributes 'DC=pentest,DC=com' ms-DS-MachineAccountQuota

{
    "ms-DS-MachineAccountQuota": 0
}

二、思路

简单来说就是不允许新建,那就利用已有的机器账户。

一般域内普通账户拥有修改其对应机器账户的密码的权限,所以我们拥有域内普通用户凭据的情况下,可以查看是否有机器账户,我们通过修改其属性,然后就可以利用域内普通账户去执行后续的利用步骤。

那么我们怎么在只有域内普通账户权限、不知道机器账户原有密码的情况下,重置或修改其密码呢?

三、具体攻击步骤

1. 准备工作

环境简述

  • 域内普通用户:saul

  • 域内机器账户:win10-x64-test$

  • 域控:DC.pentest.com,机器IP:10.10.100.8

域内定位CA主机,

在域内机器上执行,

certutil -config - -ping

定位CA
注意,该命令会在查询的机器上面弹出窗口。

img

查看当前域普通用户的机器账户,

假如已获取saul这个普通域用户的权限,查询objectSid:,

img

查询当前hostname,

img

一般机器用户就是hostname ,即 ‘ w i n 10 − x 64 − t e s t

最低0.47元/天 解锁文章
Jinmindong
关注
Active Directory 服务权限提升漏洞(CVE-2022-26923)
做自己喜欢的事,并将其发挥到极致!
05-17 2845
文章目录声明一、漏洞描述二、影响范围三、Windows Active Directory (AD)四、Active Directory 证书服务五、环境配置六、漏洞复现七、修复方案八、参考链接 声明 本文章仅用于技术学习、安全研究。切勿用于非授权下渗透攻击行为,切记! 一、漏洞描述 Active Directory 权限提升漏洞 (CVE-2022-26923)允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中
cve-2022-26923漏洞复现+实战+踩坑记录
恒安嘉新66的博客
06-11 2771
一、描述cve-2022-26923权限提升漏洞,5月份以前的存在证书服务器的通杀控管理员权限,危害巨大。 #漏洞 #控证书漏洞
随着网络犯罪分子逃避云安全防御,无文件攻击激增
热门推荐
网络研究观
07-03 1万+
威胁行为者正在大量投入资源来隐藏活动并避免被发现,以便在受感染的系统中建立更牢固的立足点。
记录一次vulhub:Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
sszsNo1的博客
06-29 228
vulhub:Spring Framework远程代码执行漏洞复现(CVE-2022-22965)
春秋云镜 CVE-2022-25578
qq_22002773的博客
06-30 245
春秋云镜 CVE-2022-25578
CVE-2022-23222 漏洞复现
qq_43472789的博客
06-09 727
2022年1月14日,一个编号为CVE-2022-23222的漏洞被公开,这是一个位于eBPF验证器中的漏洞漏洞允许eBPF程序在未经验证的情况下对特定指针进行运算,通过精心构造的代码,可以实现任意内核内存读写,而这将会造成本地提权的风险。由于内核在执行用户提供的 eBPF 程序前缺乏适当的验证,攻击者可以利用这个漏洞获取 root 权限。该漏洞是由于 Linux 内核的 eBPF 验证器存在一个空指针漏洞,没有对*_OR_NULL指针类型进行限制,允许这些类型进行指针运算。
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9
最新发布
03-15
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包9 麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关...
麒麟Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1
03-15
Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux kernel本地权限提升漏洞(CVE-2022-0847)漏洞补丁及相关依赖包1Linux ...
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
春秋云镜 CVE-2022-25411
qq_22002773的博客
07-04 542
春秋云镜 CVE-2022-25578
Goby漏洞更新 | PbootCMS 3.1.2 远程代码执行漏洞CVE-2022-32417)
m0_46699477的博客
04-01 5888
PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 3.1.2版本中存在安全漏洞,攻击者可通过该漏洞引发代码远程执行。
Goby漏洞更新 | Atlassian Confluence 硬编码用户登陆漏洞 (CVE-2022-26138)
m0_46699477的博客
04-01 385
Atlassian Confluence Server是澳大利亚Atlassian公司的一套具有企业知识管理功能,并支持用于构建企业WiKi的协同软件的服务器版本。 Atlassian Confluence Server 存在安全漏洞,该漏洞源于使用硬编码密码,攻击者可登录查看团队空间成员等敏感信息。
Goby漏洞更新|GetSimpleCMS 内容管理系统 theme-edit.php 文件 content 参数任意代码执行漏洞CVE-2022-41544)
m0_46699477的博客
04-13 511
CVE-2022-41544 GetSimple CMS是一套使用PHP语言编写的内容管理系统(CMS)。GetSimple CMS v3.3.16版本存在安全漏洞,该漏洞源于通过admin/theme-edit.php中的edited_file参数发现包含远程代码执行(RCE)漏洞
CVE-2022-22947(Spring-Cloud-Gateway)
Christ1na的博客
04-09 697
`SpringCloud Gateway` 是 Spring Cloud 的一个全新项目,该项目是基于 Spring 5.0,Spring Boot 2.0 和 Project Reactor 等技术开发的网关,它旨在为微服务架构提供一种简单有效的统一的 API 路由管理方式。
CERTI 4.0.0 成功编译安装(Windows10+VS2022
atrolwei的博客
02-27 1749
引言 CERTI是一个开源分布式仿真基础框架,是HLA/RTI的一种实现。其本身提供了源码和编译说明,但编译说明写于零几年,用的还是vs2005编译,比较老旧,另外很多地方写得不详细。笔者在编译过程中就遇到过很多问题,摸索很久,才终于实现了在Windows 10上使用Visual Studio 2022的顺利不报错编译安装,另外在这个过程中也摸索出了在Linux下的编译安装和Windows上使用MinGW编译安装。 由于在Linux下的编译安装之前已经写过,详见_下文_,本文主要讨论CERTI在Window
一句话 之 AD -- 禁止非管理账户将计算机加入--设置ms-DS-MachineAccountQuota属性值为0
chinaitv的专栏
03-07 4320
默认情况下,windows允许任何通过身份验证的用户将10个计算机对象加入。 可通过下面的操作,关闭这一默认权限:   -)”管理工具“--打开“ADSI Edit”工具; -)右键“ADSI Edit” -- “连接到”; -)“连接点”选项卡--“选择一个已知命名上下文”--“默认命名上下文”; -)“确定” -)展开“默认命名上下文”; -)右键“dc=domain,dc=
渗透-备忘录
qq_50643984的博客
03-01 684
委派获取的权限在于,委派的用户是谁,被委派什么服务,如果是普通用户,那就获得普通用户的票据,如果是管,那就是管票据,信息收集可以通过Bloodhuond。例如DC01$委派WIN2016$,那么用win2016的账户进行getST就能获取到DC01的票据了。
CVE-202226923漏洞分析
阿道夫的博客
01-31 1151
本次漏洞产生的主要原因是计算机账户关键属性的ACL设置问题和ADCS检查客户端身份不严格导致,结合之前的samAccountName欺骗漏洞,AD中涉及身份认证标识的问题不止一次,微软在AD中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。本次漏洞利用简单,流量特征不明显难以检测,同获取的AD证书有效间长,因此对于AD的提权和权限维持都有很高的利用价值。一次,微软在AD中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。
Windows环境漏洞CVE-2022-26923权限提升与防范策略
本资源是一份关于Windows环境漏洞分析的PPT,主要关注CVE-2022-26923漏洞的研究。Windows环境是企业网络中的关键组成部分,其安全至关重要。这份报告详细探讨了Windows的攻击链,包括可能的攻击步骤和目标,如...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值