写在前面
本次漏洞利用简单,流量特征不明显难以检测,同时获取的AD域证书有效时间长,因此对于AD域的提权和权限维持都有很高的利用价值。这里简单记录域内普通用户提权到本机system权限。
目录
0x01 漏洞成因0x02 受影响DC版本0x03 利用前提0x04 利用步骤0x05 工具获取0x06 参考
漏洞成因
默认情况下,域用户可以注册 User 证书模板,域计算机可以注册 Machine 证书模板。两个证书模板都允许客户端身份验证。当用户账户申请 User 模板证书时,用户帐户的用户主体名称(User Principal Name,UPN)将嵌入到证书中以进行识别。而对于计算机账户来说,其没有 UPN 属性。因此,当计算机账户申请证书时,计算机账户的 dNSHostName 属性值将嵌入到证书中以进行识别。当我们使用证书进行身份验证时,KDC 会尝试将 dNSHostName 从证书映射到目标计算机。如果我们将一个可控的计算机账户的 dNSHostName值(不具有唯一性,可重复)改为与域控制器的计算机账户相同的dNSHostName 值,那么我们可以欺骗AD CS,并最终申请到域控制器的 AD 证书。
受影响DC版本
Windows Server 2012 R2 (Server Core installation)Windows Server 2012 R2Windows RT 8.1Windows 8.1 for x64-based systemsWindows 8.1 for 32-bit systemsWindows Server 2016 (Server Core installation)Windows Server 2016Windows 10 Version 1607 for x64-based SystemsWindows 10 Version 1607 for 32-bit SystemsWindows 10 for x64-based SystemsWindows 10 for 32-bit SystemsWindows 10 Version 21H2 for x64-based SystemsWindows 10 Version 21H2 for ARM64-based SystemsWindows 10 Version 21H2 for 32-bit SystemsWindows 11 version 21H2 for ARM64-based SystemsWindows 11 version 21H2 for x64-based SystemsWindows Server, version 20H2 (Server Core Installation)Windows 10 Version 20H2 for ARM64-based SystemsWindows 10 Version 20H2 for 32-bit SystemsWindows 10 Version 20H2 for x64-based SystemsWindows Server 2022 (Server Core installation)Windows Server 2022Windows 10 Version 21H1 for 32-bit SystemsWindows 10 Version 21H1 for ARM64-based SystemsWindows 10 Version 21H1 for x64-based SystemsWindows 10 Version 1909 for ARM64-based SystemsWindows 10 Version 1909 for x64-based SystemsWindows 10 Version 1909 for 32-bit SystemsWindows Server 2019 (Server Core installation)Windows Server 2019Windows 10 Version 1809 for ARM64-based SystemsWindows 10 Version 1809 for x64-based SystemsWindows 10 Version 1809 for 32-bit Systems
利用前提
AD 域内已配置了 AD CS 服务一个有创建机器账户权限的域账号 #默认有
利用步骤
KrbRelayUp.exe relay --domain xiaorang.lab --CreateNewComputerAccount --ComputerName nino$ --ComputerPassword nino1234 -cls c980e4c2-c178-4572-935d-a8a429884806KrbRelayUp.exe spawn -m rbcd -d xiaorang. lab -dc DC0l.xiaorang. lab -cn nino$ -cp ninol234
拉起的命令行是system权限
-cls 不添加利用默认的也可运行
工具获取
公众号回复"CVE-2022–26923",获取工具。
参考
https://blog.csdn.net/text2203/article/details/128818794写在最后
本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
原文始发于微信公众号(云下信安):CVE-2022–26923域内提权漏洞利用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论