「域渗透」NoPac在MAQ=0时的利用

admin 2022年3月7日22:05:45评论579 views字数 1722阅读5分44秒阅读模式

0x00 前言

    最近还看到有人发关于CVE-2021-42278CVE-2021-42287的分析利用文章,也就是NoPac这个漏洞,漏洞都补完了怎么含在说啊「域渗透」NoPac在MAQ=0时的利用

    对于利用来看这些文章都提及到了MAQ为0的情况,对于这个情况的利用也都介绍了但是不太全面,我之前的文章也是简单提了一嘴,在早些在知识星球内就拓展过利用思路了。

    所以干脆今天就来帮大家总结一下MAQ=0时的利用方式,小菊花妈妈课堂开课啦!

0x01 原理

MAQ,MS-DS-Machine-Account-Quota,此属性为允许用户在域中创建的计算机帐户数。

「域渗透」NoPac在MAQ=0时的利用

    许多域内为了缓解一些委派、Relay攻击都将此属性设置为0,那么代表着攻击者没办法在没有已控制机器账户的情况下去申请票据了,所以可以缓解一下此类攻击。

0x02 利用

    得知是否限制了MAQ可以使用LDAP查询工具去查询ms-DSMachineAccountQuota这个属性即可

ldapsearch -x -h 10.0.1.1 -b "DC=test,DC=com" -D "CN=duck,CN=Users,DC=test,DC=com"
-W -s sub "(objectclass=domain)" | grep "ms-ds-machineaccountquota" -i

1. MAQ>0的情况

    如果不是只傻狗应该直接打就可以了,具体打的命令操作等就不赘述了,参考之前的文章:

详解CVE-2021-42278与CVE-2021-42287

「域渗透」只需一个账户就可以沦陷域控

2. MAQ=0的情况

    如果在限制了MAQ属性的情况下,攻击的核⼼就是需要对⼀个账⼾有写权限

2.2 Creater-SID

    机器账户被拉入域的用户账户对这个机器账户有GenericAll的权限,意味着可以更改其属性;对应机器账户中的creater-sid这个属性的sid就为拉它入域的用户账户。

    所以我们存在用户凭据的情况下可以查看是否有机器账户可以写的。

    然后就可以利用当前账户去做攻击:

  1. 清除此机器账户的SPN
  2. 更改此机器账户密码
  3. 攻击过程操作略..
  4. 恢复密码
  5. 恢复此账户的SPN(重要)

    更改密码就利用SAMR协议这类的利用工具更改即可。

    注:攻击完成没有恢复SPN的话会出现信任关系丢失的情况。

2.3 用户组

    还可以查一下对某些机器、或是用户有写权限的组:

Get-DomainObjectAcl duck -ResolveGUIDs | ?{$_.SecurityIdentifier -eq (Get-DomainUser dog).objectsid}

    可能会有一些特殊的用户组,这样可以有针对性的寻找该用户继而修改对应的机器账户。

接着和上述流程一样。

2.4 加域账号

    这里说的是MAQ限制情况下所存在的加域账户,有可能限制了MAQ,但是企业肯定要加机器到域⾥的,对应的组策略

privilege就是SeMachineAccountPrivilege

adfind -b CN=Computers,DC=test,DC=com -sddl+++ -s base -sdna -sddlfilter ;;"CR
CHILD"
;;;

找到这个⽤⼾的话,再⽤他来添加机器账⼾即可。

3.域外无凭据

    在域外没有凭据的情况下,就是要搞⼀个机器账⼾或是用户账户先入域再说,可以配合webdav、rbcd等等思路拿到一个机器账户接着去按以上思路搜集信息,然后就是MAQ限制和不限制两种情况了。

0x03 总结

    其实总的思路就是想办法找A对B有WriteProperty即可。每个大企业的域都不一样,实际中就是要根据不同情况不同处理。

    文章比较简单,扣个脚的时间写完的,就不粘贴巴拉巴拉的利用命令了,思路为主「域渗透」NoPac在MAQ=0时的利用



    广告时间:欢迎加入知识星球,星球的内容主要涉及红队攻防内网域渗透红队研发免杀技术等知识面;

    已有160+师傅加入,技术文档已超过100+,并提供”摆烂思维训练群“交流环境「域渗透」NoPac在MAQ=0时的利用

「域渗透」NoPac在MAQ=0时的利用


原文始发于微信公众号(黑客在思考):「域渗透」NoPac在MAQ=0时的利用

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月7日22:05:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   「域渗透」NoPac在MAQ=0时的利用http://cn-sec.com/archives/820108.html

发表评论

匿名网友 填写信息