微软最新暴出的漏洞CVE-2021-42287/CVE-2021-42278 权限提升漏洞可将域内的任意用户提升至域管权限,已复现[em]e182[/em]
在 AD 域中请求ST票证时,首先需要提供 TGT票据。当 KDC 未找到请求的ST票证时,KDC 会自动再次搜索带有
结
尾
的
用
户
。
漏
洞
原
理
:
如
果
获
得
了
D
C
用
户
的
T
G
T
票
据
且
域
内
有
一
台
名
为
D
C
结尾的用户。 漏洞原理:如果获得了 DC 用户的TGT票据且域内有一台名为DC
结尾的用户。漏洞原理:如果获得了DC用户的TGT票据且域内有一台名为DC域控,再将DC用户删除,此时使用该 TGT去请求s4u2self,如果域控制器帐户DC
存
在
,
那
么
D
C
就
能
获
得
域
控
制
器
帐
户
(
机
器
用
户
D
C
存在,那么DC就能获得域控制器帐户(机器用户DC
存在,那么DC就能获得域控制器帐户(机器用户DC)的ST票证。
假如域内有一台域控名为 DC(域控对应的机器用户为 DC
)
,
此
时
攻
击
者
利
用
漏
洞
C
V
E
−
2021
−
42287
创
建
一
个
机
器
用
户
Z
A
W
X
),此时攻击者利用漏洞 CVE-2021-42287 创建一个机器用户ZAWX
),此时攻击者利用漏洞CVE−2021−42287创建一个机器用户ZAWX,再把机器用户ZAWX
的
s
A
M
A
c
c
o
u
n
t
N
a
m
e
改
成
D
C
。
然
后
利
用
D
C
去
申
请
一
个
T
G
T
票
据
。
再
把
D
C
的
s
A
M
A
c
c
o
u
n
t
N
a
m
e
改
为
Z
A
W
X
的sAMAccountName改成DC。然后利用DC去申请一个TGT票据。再把DC的sAMAccountName改为ZAWX
的sAMAccountName改成DC。然后利用DC去申请一个TGT票据。再把DC的sAMAccountName改为ZAWX。这个时候KDC就会判断域内没有DC和这个用户,自动去搜索DC
(
D
C
(DC
(DC是域内已经的域控DC的sAMAccountName),攻击者利用刚刚申请的TGT进行S4U2self,模拟域内的域管去请求域控DC的ST票据,最终获得域控制器DC的权限。