零、漏洞回顾
Active Directory 域权限提升漏洞(CVE-2022-26923 ),允许低权限用户在安装了 Active Directory 证书服务
(AD CS) 服务器角色的默认 Active Directory 环境中将权限提升到域管理员。
一、场景
MAQ,即MS-DS-Machine-Account-Quota,此属性是允许域普通用户在域中创建的机器帐户的数量。
一般普通域用户可以新建10个机器账户,即MAQ=10。但是如果你进到一个域环境,发现当前域不允许新建机器账户(MAQ=0),也没有任何机器账户的权限,仅有域内普通账户权限一枚。这种情况下,如何利用
CVE-2022-26923 Windows Active Directory 域服务组件权限提升这个漏洞呢?
查看MAQ的值:
python3 bloodyAD.py -d pentest.com -u saul -p 'admin!@#45' --host 10.10.100.8 getObjectAttributes 'DC=pentest,DC=com' ms-DS-MachineAccountQuota
{
"ms-DS-MachineAccountQuota": 0
}
二、思路
简单来说就是不允许新建,那就利用已有的机器账户。
一般域内普通账户拥有修改其对应机器账户的密码的权限,所以我们拥有域内普通用户凭据的情况下,可以查看是否有机器账户,我们通过修改其属性,然后就可以利用域内普通账户去执行后续的利用步骤。
那么我们怎么在只有域内普通账户权限、不知道机器账户原有密码的情况下,重置或修改其密码呢?
三、具体攻击步骤
1. 准备工作
环境简述
-
域内普通用户:saul
-
域内机器账户:win10-x64-test$
-
域控:DC.pentest.com,机器IP:10.10.100.8
域内定位CA主机,
在域内机器上执行,
certutil -config - -ping
注意,该命令会在查询的机器上面弹出窗口。
查看当前域普通用户的机器账户,
假如已获取saul这个普通域用户的权限,查询objectSid
:,
查询当前hostname,
一般机器用户就是hostname
加 ,即 ‘ w i n 10 − x 64 − t e s t