域控常见攻击思路总结

admin
admin
admin
138701
文章
114
评论
2023年11月30日13:03:17评论153 views字数 2239阅读7分27秒阅读模式

域控常见攻击思路总结

前言

    本文总结了域控常见的攻击思路,深入了解每个漏洞的原理,才能在实际中更好的进行利用。


常见拿域控的方法

第一类:高可用域控漏洞


    通过ZerologonNopacPrintNightmare漏洞直接打。运气好碰到MS17-010,MS-14068的话也可以直接利用。

MS-14608实战文章:https://t.1yb.co/Kf6c
MS17-010实战文章:https://t.1yb.co/Kf6j
Zerologon实战文章:http://emkk.cn/d5qd9
NoPac实战文章:http://emkk.cn/d5qdw
PrintNightmare实战文章:http://emkk.cn/d5qd2


第二款:抓取凭据或注入域管理员进程


    找域管进程,有的话直接注入。没有就喷密码或者看一下有没有其他漏洞。

实战文章:http://emkk.cn/d5qdm
实战文章:http://emkk.cn/d5qdb(借助BloodHound更直观)

第三类:非约束委派主机结合打印机漏洞

    存在非约束委派的话,我们就可以委派域中任意用户去访问任意服务(例如域控的 CIFS 服务),前提是目标用户向我们发起了 Kerberos 请求,可以利用 PrintBug 或者 PetitPotam等强制认证漏洞来完成。

参考文章:http://emkk.cn/d5qac
实战文章:http://emkk.cn/d5qai

第四类:CVE-2019-1040

    一般通过CVE-2019-1040加强制认证进行NTLM Realy,配合RBCD或ACL等来打域控或Exchange等,这一部分的涉及的知识挺多的。

参考文章:

http://emkk.cn/d5qdr
http://emkk.cn/d5qdu
http://emkk.cn/d5qd8

第五类:Exchange漏洞

    通过ProxyShell、ProxyNotSell、ProxyLogon、CVE-2021-26857、PrivExchange等漏洞来获取Exchange服务器权限。

    获得Exchange 权限后,由于特殊组的缘故,其拥有WriteDACL权限,可以修改域内的ACL,赋予Dcsync ACE权限给指定的用户。从而允许模拟域控制器,请求域内户的哈希值,包括域管理员的哈希值。最终获取域控制器的控制权。

实战文章:

http://emkk.cn/d5qde
http://emkk.cn/d5qdd
http://emkk.cn/d5qda

第六类:ADCS漏洞

    内网里有 ADCS 服务,且开启了证书Web注册服务的话,攻击者只需要拥有一个域账号,再结合 PetitPotam 或者 PrintBug等强制认证漏洞完成,这里就不用配合CVE-2019-1040漏洞了,因为是Relay To HTTP,然后NTLM Relay拿到 DC 的 Base64 证书,通过asktgt拿到TGT,注入TGT配合DCSYNC,从而获取域控的权限。

参考文章:http://emkk.cn/d5qdhhttp://emkk.cn/d5qd4
实战文章:http://emkk.cn/d5qdg


ESC系列

    目前是ESC1-11了,上面提到的ASCS Relay是ESC-8。

参考文章:

http://emkk.cn/d5qdphttp://emkk.cn/d5qd3http://emkk.cn/d5qdnhttp://emkk.cn/d5qdy


CVE-2022-26923

    此漏洞受Nopac利用思路的影响,将Nopac中Kerberos认证相关的问题,转向证书认证相关的问题。此漏洞通过将机器账户dNSHostName属性的值修改成与域控一样的方法,来获取域控的机器账户hash,从而获取域控的权限。

参考文章:http://emkk.cn/d5qd5http://emkk.cn/d5qds
实战文章:http://emkk.cn/d5qdq

第七类:ACL滥用

    可以借助BloodHound分析ACL控制路径,发现可利用权限,比如如A用户对B用户有WriteDACL权限,就可以在A用户上修改B用户为GenericAll权限,让A用户对B用户拥有所有的访问控制权,然后也可以配合GPO滥用达到添加用户权限、添加一个本地管理员、添加一个新的计算机启动脚本等操作。ACL滥用比较经典的案例就是通过漏洞获得Exchange 权限后,由于特殊组的缘故导致其拥有WriteDACL权限,可以修改域内的ACL,赋予Dcsync ACE权限给指定的用户。

参考文章:http://emkk.cn/d5qd0http://emkk.cn/d5qdzhttp://emkk.cn/d5qdt
实战文章:http://emkk.cn/d5qd7

第八类:Pre-Authentication&&AS-REP Roasting&&kerberoasting

    这几种都是针对域账户的,枚举用户或脱机爆破。

参考文章:http://emkk.cn/d5qdj


其它文章:

http://emkk.cn/d5qdchttp://emkk.cn/d5qdihttp://emkk.cn/d5qd6http://emkk.cn/d5qdvhttp://emkk.cn/d5qd1http://emkk.cn/d5qdf



原文始发于微信公众号(306Safe):域控常见攻击思路总结

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月30日13:03:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   域控常见攻击思路总结https://cn-sec.com/archives/2255051.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息