taibeihacker
Moderator
1.MS14-068kerberos認證,no PAC
用戶在向Kerberos 密鑰分發中心(KDC)申請TGT(由票據授權服務產生的身份憑證)時,可以偽造自己的Kerberos 票據
漏洞效果:
將任意域用戶提升到域管權限
利用條件:
1.小於2012R2的域控沒有打MS14-068的補丁(KB3011780)
2.拿下一台加入域的計算機
3.有這台域內計算機的域用戶密碼和Sid
利用方式:
在《Kerberos认证及过程中产生的攻击》 一文中有詳細講
這可以看https://cloud.tencent.com/developer/article/1760132
2.CVE-2020-1472
NetLogon特權提升漏洞(CVE-2020-1472)是一個windows域控中嚴重的遠程權限提升漏洞。
Netlogon使用的AES認證算法中的vi向量默認為0,導致攻擊者可以繞過認證,同時其設置域控密碼的遠程接口也使用了該函數,導致
以將域控機器用戶的password設置為空。
這樣我們就可以導域管hash,最後再還原域控機器用戶的密碼
漏洞效果:
可利用此漏洞獲取域管訪問權限
影響版本:
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012Windows Server 2012 (Server Core installation)
Windows Server 2012 R2Windows Server 2012 R2 (Server Core installation)
Windows Server 2016Windows Server 2016 (Server Core installation)
Windows Server 2019Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)Windows Server, version 2004 (Server Core installation)
利用方式:
準備工具:
Impacket工具包:https://github.com/SecureAuthCorp/impacket.git
poc:https://github.com/SecuraBV/CVE-2020-1472.git
exp:https://github.com/dirkjanm/CVE-2020-1472
exp:https://github.com/risksense/zerologon
3.CVE-2021-4228742278
Windows域服務權限提升漏洞(CVE-2021-42287, CVE-2021-42278)是由於Active Directory 域服務沒有進行適當的安全限制,導致可繞過安全限制進行權限提升。攻擊者可利用該漏洞造成將域內的普通用戶權限提升到域管理員權限
漏洞效果:
將任意域用戶提升到域管權限
影響版本:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
利用條件:
(1)一個普通域成員帳戶
(2)域用戶有創建機器用戶的權限(一般默認權限)
(3)DC未打補丁KB5008380或KB5008602
利用方式:
github.com
github.com
blog.csdn.net
4.CVE-2021-1675/CVE-2021-34527
PrintNightmare 此漏洞一開始為CVE-2021-1675,隨後微軟把此漏洞分配給了CVE-2021-34527,並提到了兩個漏洞很像,但是攻擊向量是不同的。
Print Spooler是Windows系統中管理打印相關事務的服務,用於管理所有本地和網絡打印隊列並控制所有打印工作。 Windows系統默認開啟Print Spooler 服務,普通用戶可以利用此漏洞提升至SYSTEM管理權限。
漏洞效果:
未經身份驗證的遠程攻擊者可利用該漏洞以SYSTEM權限在域控制器上執行任意代碼,從而獲得整個域的控制權
影響版本:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server, version 2004 (Server Core installation)
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
利用場景
在工作組環境下,可通過該漏洞獲取系統最高權限;域環境下,直接攻擊域控制器可以獲取域控的SYSTEM權限,執行任意代碼;可用於持久化的操作,得到域控後,在有共享目錄、能訪問到域控的情況下,遠程的加載共享目錄下的DLL。利用條件
目標開啟Spooler服務;一個普通權限的域賬戶;創建的smb服務允許匿名訪問,即目標可以直接獲取到文件。利用方式
github.com
github.com
github.com
5.CVE-2019-1040
2019年6月,Microsoft發布了一條安全更新。該更新針對CVE-2019-1040漏洞進行修復。此次漏洞,攻擊者可以通過中間人攻擊,繞過NTLM MIC(消息完整性檢查)保護,將身份驗證流量中繼到目標服務器。
漏洞效果
通過這種攻擊使得攻擊者在僅有一個普通域賬號的情況下可以遠程控制Windows 域內的任何機器,包括域控服務器。
影響版本
Windows 7 sp1 至Windows 10 1903
Windows Server 2008 至Windows Server 2019
利用場景
對於特定環境, CVE-2019-1040漏洞的攻擊鏈目前已經確定的兩種攻擊途徑:
1、攻擊域Exchange Server (下面以這種途徑來描述)
2、攻擊域AD Server(結合基於資源的約束委派)
利用條件
A、Exchange服務器可以是任何版本(包括為PrivExchange修補的版本)。唯一的要求是,在以共享權限或RBAC模式安裝,Exchange默認具有高權限。 B、域內任意賬戶。 (由於能產生SpoolService錯誤的唯一要求是任何經過身份驗證的域內帳戶) C、CVE-2019-1040漏洞的實質是NTLM數據包完整性校驗存在缺陷,故可以修改NTLM身份驗證數據包而不會使身份驗證失效。而此攻擊鏈中攻擊者刪除了數據包中阻止從SMB轉發到LDAP的標誌。 D、構造請求使Exchange Server向攻擊者進行身份驗證,並通過LDAP將該身份驗證中繼到域控制器,即可使用中繼受害者的權限在Active Directory中執行操作。比如為攻擊者帳戶授予DCSync權限。 E、如果在可信但完全不同的AD林中有用戶,同樣可以在域中執行完全相同的攻擊。 (因為任何經過身份驗證的用戶都可以觸發SpoolService反向連接)
漏洞利用攻擊鏈
1、使用域內任意帳戶,通過SMB連接到被攻擊ExchangeServer,並指定中繼攻擊服務器。同時必須利用SpoolService錯誤觸發反向SMB鏈接。 2、中繼服務器通過SMB回連攻擊者主機,然後利用ntlmrelayx將利用CVE-2019-1040漏洞修改NTLM身份驗證數據後的SMB請求據包中繼到LDAP。 3、使用中繼的LDAP身份驗證,此時Exchange Server可以為攻擊者帳戶授予DCSync權限。 4、攻擊者帳戶使用DCSync轉儲AD域中的所有域用戶密碼哈希值(包含域管理員的hash,此時已拿下整個域)。
利用方式:
github.com
github.com
github.com
github.com
同一網段內:https://www.freebuf.com/vuls/274091.html
隧道下:https://zhuanlan.zhihu.com/p/142080911
CVE-2019-1040+RBCD(基於資源的約束性委派)+PetitPatom
6.域委派攻擊
7.NTLM Relay
8.ADCS漏洞--ESC8(PetitPotam)(ADCS relay)
ESC8是一個http的ntlm relay,原因在於ADCS的認證中支持NTLM認證
漏洞效果:
將普通域用戶提升到域管權限
利用條件:
1.未打adcs的補丁2.有兩台域控3.有adcs服務
利用方式:
blog.csdn.net
9.ADCS漏洞--CVE-2022–26923
漏洞影響: 允許低權限用戶在安裝了Active Directory 證書服務(AD CS) 服務器角色的默認Active Directory 環境中將權限提升到域管理員
漏洞組件:活動目錄證書服務(Active Directory Certificate Services,AD CS)
漏洞簡述:通過構造機器賬戶並篡改dNSHostName屬性,在證書申請時AD CS將dNSHostName屬性嵌入證書中,進而機器賬戶獲得高權限的域控身份。
受影響的Windows 版本:
Windows 8.1
Windows 10 Version 1607, 1809,1909, 2004, 20H2, 21H1, 21H2
Windows 11
Windows Server 2008,2012,2016,2019,2022
利用先決條件:
CVE-2022-26923/CVE-2022-26931漏洞與2021年CVE-2021-42278/CVE-2021-42287sAMAccountName spoofing漏洞類似,均通過利用偽造域控制器名稱身份來進行相關的提權操作。它的利用先決條件為:
該提權漏洞適用於所有的Windows服務器活動目錄版本,包含目前位於微軟產品支持範圍內的Windows Server 2012 R2到Windows Server 2022,以及超出產品支持範圍的舊Windows服務器版本。入侵者至少控制一個活動目錄用戶賬戶,該用戶賬戶對於活動目錄中至少一個計算機賬戶具有“Validated write to DNS host name”權限。默認情況下,單個活動目錄普通域用戶可以加入或創建(包含創建空賬戶)10個計算機賬戶到活動目錄中,並對自己所加入/創建的計算機賬戶具有CREATOR OWNER管理權限(包含“Validated write to DNShost name”權限)。因此該權限較為容易獲得。在活動目錄內部部署有企業證書服務,並允許上述被控制的計算機賬戶申請計算機身份驗證證書。企業證書服務是活動目錄中廣泛部署的一種相關基礎服務,並且默認情況下,與活動目錄集成的企業證書服務默認即允許域內計算機申請計算機身份驗證證書。復現參考:
10.Exchange相關,可控制Exchange服務器
Exchange在域內有著重要的地位,一般來說,拿到Exchange服務器的權限,基本等同於拿到域管的權限。拿到Exchange服務器,有很大概率就是域管直接登錄的。或者域管曾經登錄過。拿到Exchange服務器權限的時候,可以嘗試直接dir下域控的C盤,看有沒有權限。如果沒有權限,再嘗試使用mimikatz抓一波密碼,很大概率可以直接抓到域管或者高權限用戶。而且就算是高版本的server,在Exchange上也能抓到明文密碼。
11.CVE-2018-8581 (拿域控)
漏洞描述:
該漏洞利用了Exchange 服務器的SSRF 和高權限的請求,導致擁有合法郵箱憑證的用戶可以被提升至域管權限
影響範圍:
Exchange Server 2010
Exchange Server 2013
Exchange Server 2016
利用條件:
Exchange 默認配置下,攻擊者擁有合法的郵箱用戶憑證,同時,該漏洞利用是通過NTLM Relay的方式進行提權,因此攻擊者需要已經在內網環境中取得可用主機。
漏洞簡介:
該漏洞的發生源於幾個方面:
首先,Exchange 允許任意用戶(只要是通過了認證的)通過EWS 接口來創建一個推送訂閱(Push Subscription),並可以指定任意URL 作為通知推送的目的地;其次,通知被訂閱推送後,當觸發推送時,Exchange 使用了CredentialCache 類的DefaultCredentials 屬性,由於EWS 以SYSTEM 權限運行,當使用DefaultCredentials 時發出的HTTP 請求將使用該權限發起NTLM 認證;在EWS 請求中,通過在Header 中使用SerializedSecurityContext,指定SID 可以實現身份偽裝,從而以指定用戶身份進行EWS 調用操作。也就是說【我們可以控制Exchange服務器向我們發起HTTP 協議的NTLM 請求,這樣我們就能拿到Exchange機器用戶的Net-Ntlm Hash】
由於該漏洞利用涉及NTLM 的重放攻擊,一種很容易想到的思路就是將該憑證重放到域控機器。由於重放的NTLM 憑證來自Exchange 服務器的機器用戶權限,根據Relay To LDAP一節的描述,我們知道Exchange機器用戶具有write-acl權限,可以給任意用戶提權,賦予Dcsync的權限,從而dump出所有密碼哈希值。
服務端是否要求籤名:
我們Relay到的服務端是Ldap,在前面【ldap簽名】一節提到,Ldap服務器的默認策略是協商簽名。是否簽名是由客戶端決定的。客戶端分情況,如果是smb協議的話,默認要求籤名的,如果是webadv或者http協議,是不要求籤名的
在這個漏洞裡面發起的請求是http協議,這也就意味著我們什麼都不用做,在這個漏洞中並不要求籤名。
EXP :
github.com
#也可以使用ntlmrelayx.py+privexchange.py+secretdump.py
github.com
github.com
復現可以參考這篇文章:
https://www.jianshu.com/p/e081082cbc73 CVE-2020-0688 (RCE)漏洞描述:當攻擊者通過各種手段獲得一個可以訪問Exchange Control Panel (ECP)組件的用戶賬號密碼,就可以在被攻擊的exchange上執行任意代碼,直接獲取服務器權限。
利用條件:Exchange Server 2010 SP3/2013/2016/2019,普通賬號。
攻擊腳本:
github.com
github.com
復現:
12.CVE-2020-17144 (RCE)
漏洞描述:遠程攻擊者通過構造特殊的cmdlet參數,繞過身份驗證利用改漏洞可造成
用戶在向Kerberos 密鑰分發中心(KDC)申請TGT(由票據授權服務產生的身份憑證)時,可以偽造自己的Kerberos 票據
漏洞效果:
將任意域用戶提升到域管權限
利用條件:
1.小於2012R2的域控沒有打MS14-068的補丁(KB3011780)
2.拿下一台加入域的計算機
3.有這台域內計算機的域用戶密碼和Sid
利用方式:
在《Kerberos认证及过程中产生的攻击》 一文中有詳細講
這可以看https://cloud.tencent.com/developer/article/1760132
2.CVE-2020-1472
NetLogon特權提升漏洞(CVE-2020-1472)是一個windows域控中嚴重的遠程權限提升漏洞。
Netlogon使用的AES認證算法中的vi向量默認為0,導致攻擊者可以繞過認證,同時其設置域控密碼的遠程接口也使用了該函數,導致
以將域控機器用戶的password設置為空。
這樣我們就可以導域管hash,最後再還原域控機器用戶的密碼
漏洞效果:
可利用此漏洞獲取域管訪問權限
影響版本:
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012Windows Server 2012 (Server Core installation)
Windows Server 2012 R2Windows Server 2012 R2 (Server Core installation)
Windows Server 2016Windows Server 2016 (Server Core installation)
Windows Server 2019Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)Windows Server, version 2004 (Server Core installation)
利用方式:
準備工具:
Impacket工具包:https://github.com/SecureAuthCorp/impacket.git
poc:https://github.com/SecuraBV/CVE-2020-1472.git
exp:https://github.com/dirkjanm/CVE-2020-1472
exp:https://github.com/risksense/zerologon
NetLogon 域内提权漏洞(CVE-2020-1472)复现过程-腾讯云开发者社区-腾讯云
CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞,攻击者通过NetLogon,建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。
cloud.tencent.com
CVE-2020-1472复现打域控-腾讯云开发者社区-腾讯云
Netlogon使用的AES认证算法中的vi向量默认为0,导致攻击者可以绕过认证,同时其设置域控密码的远程接口也使用了该函数,导致可以将域控中保存在AD中的管理员password设置为空
cloud.tencent.com
Windows域服務權限提升漏洞(CVE-2021-42287, CVE-2021-42278)是由於Active Directory 域服務沒有進行適當的安全限制,導致可繞過安全限制進行權限提升。攻擊者可利用該漏洞造成將域內的普通用戶權限提升到域管理員權限
漏洞效果:
將任意域用戶提升到域管權限
影響版本:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
利用條件:
(1)一個普通域成員帳戶
(2)域用戶有創建機器用戶的權限(一般默認權限)
(3)DC未打補丁KB5008380或KB5008602
利用方式:
GitHub - safebuffer/sam-the-admin: Exploiting CVE-2021-42278 and CVE-2021-42287 to impersonate DA from standard domain user
Exploiting CVE-2021-42278 and CVE-2021-42287 to impersonate DA from standard domain user - GitHub - safebuffer/sam-the-admin: Exploiting CVE-2021-42278 and CVE-2021-42287 to impersonate DA from st...
github.com
GitHub - Ridter/noPac: Exploiting CVE-2021-42278 and CVE-2021-42287 to impersonate DA from standard domain user
Exploiting CVE-2021-42278 and CVE-2021-42287 to impersonate DA from standard domain user - GitHub - Ridter/noPac: Exploiting CVE-2021-42278 and CVE-2021-42287 to impersonate DA from standard domai...
github.com
域控漏洞-CVE-2021-42287&42278复现_cve-2021-42287复现-CSDN博客
文章浏览阅读1.1w次。该博客介绍了如何复现和利用CVE-2021-42278和CVE-2021-42287这两个域控漏洞。通过详细步骤,包括环境设置、使用sam-the-admin和noPac脚本、创建和修改机器账户、请求TGT和TGS票据,展示了如何从普通域用户升级权限到访问域控文件。涉及的工具包括Powermad、impacket、PowerShell、Rubeus等,并提供了相关资源链接。
PrintNightmare 此漏洞一開始為CVE-2021-1675,隨後微軟把此漏洞分配給了CVE-2021-34527,並提到了兩個漏洞很像,但是攻擊向量是不同的。
Print Spooler是Windows系統中管理打印相關事務的服務,用於管理所有本地和網絡打印隊列並控制所有打印工作。 Windows系統默認開啟Print Spooler 服務,普通用戶可以利用此漏洞提升至SYSTEM管理權限。
漏洞效果:
未經身份驗證的遠程攻擊者可利用該漏洞以SYSTEM權限在域控制器上執行任意代碼,從而獲得整個域的控制權
影響版本:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server, version 2004 (Server Core installation)
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
利用場景
在工作組環境下,可通過該漏洞獲取系統最高權限;域環境下,直接攻擊域控制器可以獲取域控的SYSTEM權限,執行任意代碼;可用於持久化的操作,得到域控後,在有共享目錄、能訪問到域控的情況下,遠程的加載共享目錄下的DLL。利用條件
目標開啟Spooler服務;一個普通權限的域賬戶;創建的smb服務允許匿名訪問,即目標可以直接獲取到文件。利用方式
GitHub - cube0x0/CVE-2021-1675: C# and Impacket implementation of PrintNightmare CVE-2021-1675/CVE-2021-34527
C# and Impacket implementation of PrintNightmare CVE-2021-1675/CVE-2021-34527 - cube0x0/CVE-2021-1675
github.com
GitHub - cube0x0/impacket: Impacket is a collection of Python classes for working with network protocols.
Impacket is a collection of Python classes for working with network protocols. - cube0x0/impacket
github.com
GitHub - 3gstudent/Invoke-BuildAnonymousSMBServer: Use to build an anonymous SMB file server.
Use to build an anonymous SMB file server. Contribute to 3gstudent/Invoke-BuildAnonymousSMBServer development by creating an account on GitHub.
github.com
2019年6月,Microsoft發布了一條安全更新。該更新針對CVE-2019-1040漏洞進行修復。此次漏洞,攻擊者可以通過中間人攻擊,繞過NTLM MIC(消息完整性檢查)保護,將身份驗證流量中繼到目標服務器。
漏洞效果
通過這種攻擊使得攻擊者在僅有一個普通域賬號的情況下可以遠程控制Windows 域內的任何機器,包括域控服務器。
影響版本
Windows 7 sp1 至Windows 10 1903
Windows Server 2008 至Windows Server 2019
利用場景
對於特定環境, CVE-2019-1040漏洞的攻擊鏈目前已經確定的兩種攻擊途徑:
1、攻擊域Exchange Server (下面以這種途徑來描述)
2、攻擊域AD Server(結合基於資源的約束委派)
利用條件
A、Exchange服務器可以是任何版本(包括為PrivExchange修補的版本)。唯一的要求是,在以共享權限或RBAC模式安裝,Exchange默認具有高權限。 B、域內任意賬戶。 (由於能產生SpoolService錯誤的唯一要求是任何經過身份驗證的域內帳戶) C、CVE-2019-1040漏洞的實質是NTLM數據包完整性校驗存在缺陷,故可以修改NTLM身份驗證數據包而不會使身份驗證失效。而此攻擊鏈中攻擊者刪除了數據包中阻止從SMB轉發到LDAP的標誌。 D、構造請求使Exchange Server向攻擊者進行身份驗證,並通過LDAP將該身份驗證中繼到域控制器,即可使用中繼受害者的權限在Active Directory中執行操作。比如為攻擊者帳戶授予DCSync權限。 E、如果在可信但完全不同的AD林中有用戶,同樣可以在域中執行完全相同的攻擊。 (因為任何經過身份驗證的用戶都可以觸發SpoolService反向連接)
漏洞利用攻擊鏈
1、使用域內任意帳戶,通過SMB連接到被攻擊ExchangeServer,並指定中繼攻擊服務器。同時必須利用SpoolService錯誤觸發反向SMB鏈接。 2、中繼服務器通過SMB回連攻擊者主機,然後利用ntlmrelayx將利用CVE-2019-1040漏洞修改NTLM身份驗證數據後的SMB請求據包中繼到LDAP。 3、使用中繼的LDAP身份驗證,此時Exchange Server可以為攻擊者帳戶授予DCSync權限。 4、攻擊者帳戶使用DCSync轉儲AD域中的所有域用戶密碼哈希值(包含域管理員的hash,此時已拿下整個域)。
利用方式:
GitHub - fortra/impacket: Impacket is a collection of Python classes for working with network protocols.
Impacket is a collection of Python classes for working with network protocols. - fortra/impacket
github.com
GitHub - dirkjanm/krbrelayx: Kerberos unconstrained delegation abuse toolkit
Kerberos unconstrained delegation abuse toolkit. Contribute to dirkjanm/krbrelayx development by creating an account on GitHub.
github.com
GitHub - Ridter/CVE-2019-1040: CVE-2019-1040 with Exchange
CVE-2019-1040 with Exchange. Contribute to Ridter/CVE-2019-1040 development by creating an account on GitHub.
github.com
GitHub - Ridter/CVE-2019-1040-dcpwn: CVE-2019-1040 with Kerberos delegation
CVE-2019-1040 with Kerberos delegation. Contribute to Ridter/CVE-2019-1040-dcpwn development by creating an account on GitHub.
github.com
隧道下:https://zhuanlan.zhihu.com/p/142080911
CVE-2019-1040+RBCD(基於資源的約束性委派)+PetitPatom
6.域委派攻擊
7.NTLM Relay
8.ADCS漏洞--ESC8(PetitPotam)(ADCS relay)
ESC8是一個http的ntlm relay,原因在於ADCS的認證中支持NTLM認證
漏洞效果:
將普通域用戶提升到域管權限
利用條件:
1.未打adcs的補丁2.有兩台域控3.有adcs服務
利用方式:
PetitPotam漏洞复现(ESC8)结合CVE-2019-1040-CSDN博客
文章浏览阅读3.6k次。PetitPotam漏洞复现环境搭建漏洞复现参考文章环境搭建主机机器名ip用户密码版本域控1ad.test.com192.168.164.147administratorAa1234win2012r2域控2ad2.test.com192.168.164.146administratorAa1234win2012r2域内机器user.test.com192.168.164.129user1Uu1234.win2008r2kali_petitpotam
漏洞影響: 允許低權限用戶在安裝了Active Directory 證書服務(AD CS) 服務器角色的默認Active Directory 環境中將權限提升到域管理員
漏洞組件:活動目錄證書服務(Active Directory Certificate Services,AD CS)
漏洞簡述:通過構造機器賬戶並篡改dNSHostName屬性,在證書申請時AD CS將dNSHostName屬性嵌入證書中,進而機器賬戶獲得高權限的域控身份。
受影響的Windows 版本:
Windows 8.1
Windows 10 Version 1607, 1809,1909, 2004, 20H2, 21H1, 21H2
Windows 11
Windows Server 2008,2012,2016,2019,2022
利用先決條件:
CVE-2022-26923/CVE-2022-26931漏洞與2021年CVE-2021-42278/CVE-2021-42287sAMAccountName spoofing漏洞類似,均通過利用偽造域控制器名稱身份來進行相關的提權操作。它的利用先決條件為:
該提權漏洞適用於所有的Windows服務器活動目錄版本,包含目前位於微軟產品支持範圍內的Windows Server 2012 R2到Windows Server 2022,以及超出產品支持範圍的舊Windows服務器版本。入侵者至少控制一個活動目錄用戶賬戶,該用戶賬戶對於活動目錄中至少一個計算機賬戶具有“Validated write to DNS host name”權限。默認情況下,單個活動目錄普通域用戶可以加入或創建(包含創建空賬戶)10個計算機賬戶到活動目錄中,並對自己所加入/創建的計算機賬戶具有CREATOR OWNER管理權限(包含“Validated write to DNShost name”權限)。因此該權限較為容易獲得。在活動目錄內部部署有企業證書服務,並允許上述被控制的計算機賬戶申請計算機身份驗證證書。企業證書服務是活動目錄中廣泛部署的一種相關基礎服務,並且默認情況下,與活動目錄集成的企業證書服務默認即允許域內計算機申請計算機身份驗證證書。復現參考:
Exchange在域內有著重要的地位,一般來說,拿到Exchange服務器的權限,基本等同於拿到域管的權限。拿到Exchange服務器,有很大概率就是域管直接登錄的。或者域管曾經登錄過。拿到Exchange服務器權限的時候,可以嘗試直接dir下域控的C盤,看有沒有權限。如果沒有權限,再嘗試使用mimikatz抓一波密碼,很大概率可以直接抓到域管或者高權限用戶。而且就算是高版本的server,在Exchange上也能抓到明文密碼。
11.CVE-2018-8581 (拿域控)
漏洞描述:
該漏洞利用了Exchange 服務器的SSRF 和高權限的請求,導致擁有合法郵箱憑證的用戶可以被提升至域管權限
影響範圍:
Exchange Server 2010
Exchange Server 2013
Exchange Server 2016
利用條件:
Exchange 默認配置下,攻擊者擁有合法的郵箱用戶憑證,同時,該漏洞利用是通過NTLM Relay的方式進行提權,因此攻擊者需要已經在內網環境中取得可用主機。
漏洞簡介:
該漏洞的發生源於幾個方面:
首先,Exchange 允許任意用戶(只要是通過了認證的)通過EWS 接口來創建一個推送訂閱(Push Subscription),並可以指定任意URL 作為通知推送的目的地;其次,通知被訂閱推送後,當觸發推送時,Exchange 使用了CredentialCache 類的DefaultCredentials 屬性,由於EWS 以SYSTEM 權限運行,當使用DefaultCredentials 時發出的HTTP 請求將使用該權限發起NTLM 認證;在EWS 請求中,通過在Header 中使用SerializedSecurityContext,指定SID 可以實現身份偽裝,從而以指定用戶身份進行EWS 調用操作。也就是說【我們可以控制Exchange服務器向我們發起HTTP 協議的NTLM 請求,這樣我們就能拿到Exchange機器用戶的Net-Ntlm Hash】
由於該漏洞利用涉及NTLM 的重放攻擊,一種很容易想到的思路就是將該憑證重放到域控機器。由於重放的NTLM 憑證來自Exchange 服務器的機器用戶權限,根據Relay To LDAP一節的描述,我們知道Exchange機器用戶具有write-acl權限,可以給任意用戶提權,賦予Dcsync的權限,從而dump出所有密碼哈希值。
服務端是否要求籤名:
我們Relay到的服務端是Ldap,在前面【ldap簽名】一節提到,Ldap服務器的默認策略是協商簽名。是否簽名是由客戶端決定的。客戶端分情況,如果是smb協議的話,默認要求籤名的,如果是webadv或者http協議,是不要求籤名的
在這個漏洞裡面發起的請求是http協議,這也就意味著我們什麼都不用做,在這個漏洞中並不要求籤名。
EXP :
GitHub - Ridter/Exchange2domain: CVE-2018-8581
CVE-2018-8581. Contribute to Ridter/Exchange2domain development by creating an account on GitHub.
github.com
GitHub - dirkjanm/PrivExchange: Exchange your privileges for Domain Admin privs by abusing Exchange
Exchange your privileges for Domain Admin privs by abusing Exchange - dirkjanm/PrivExchange
github.com
GitHub - fortra/impacket: Impacket is a collection of Python classes for working with network protocols.
Impacket is a collection of Python classes for working with network protocols. - fortra/impacket
github.com
https://www.jianshu.com/p/e081082cbc73 CVE-2020-0688 (RCE)漏洞描述:當攻擊者通過各種手段獲得一個可以訪問Exchange Control Panel (ECP)組件的用戶賬號密碼,就可以在被攻擊的exchange上執行任意代碼,直接獲取服務器權限。
利用條件:Exchange Server 2010 SP3/2013/2016/2019,普通賬號。
攻擊腳本:
GitHub - zcgonvh/CVE-2020-0688: Exploit and detect tools for CVE-2020-0688
Exploit and detect tools for CVE-2020-0688. Contribute to zcgonvh/CVE-2020-0688 development by creating an account on GitHub.
github.com
GitHub - random-robbie/cve-2020-0688: cve-2020-0688
cve-2020-0688. Contribute to random-robbie/cve-2020-0688 development by creating an account on GitHub.
github.com
漏洞描述:遠程攻擊者通過構造特殊的cmdlet參數,繞過身份驗證利用改漏洞可造成