前言:前段时间写了一个petitPotam漏洞的原理(超链直接点击即可),后利用一直没空整,今天写一波,petitPotam漏洞或者前端时间的打印机脱机漏洞配合上ca证书中继可以达到获取机器权限,从而让内网沦陷。
前言2:现在写公众号和发文章都可以不过脑子嘛?这边抄抄那边抄抄就直接发文章,然后复现成功。天真的我照着做,还以为挖到0day了,操!
1.petitpotam/printspooler漏洞
这两个漏洞都是通过不同的姿势让远程主机强制向我们指定的机器发起net_ntlm认证。
-
hacker向机器A发起petitpotam/sprintspoller攻击
-
机器A将自己的机器net_ntlm_hash A$发送到我们的攻击服务器
-
这样我们的攻击服务器就会收到一份A的机器net_ntlm_hash
我们拿到这一份hash是没法利用的,由于ms08-068的补丁,我们不能把这个hash发射回机器A这个发起方。这样我们该如何利用呢?
2.AD CS服务器
U1S1国外的老哥们是真的强,他们发现可能通过域内的证书服务器申请证书,然后利用rubeus的asktgt功能以证书发起并创建Kerberos的AS-REQ (TGT 请求)
Rubeus.exe asktgt /user:Administrator /certificate:leaked.pfx /domain:hacklab.local /dc:dc.hacklab.local /ptt其中/ptt标志被传递,则该 TGT 将应用于当前登录会话。
然后可以使用生成的 kirbi Base64 编码字符串从 KDC 正常获取 TGS。(详情见kerberos认证)
注:要完成本次攻击域必须安装ADCS服务,且证书注册的web页面不能开启https。
这个过程我们首先来看一下什么是AD CS服务(来自wiki)
Active Directory Certificate Services证书服务 (AD CS)建立本地公钥基础结构。它可以为组织的内部使用创建、验证和撤销公钥证书。这些证书可用于加密文件(与加密文件系统一起使用时)、电子邮(根据S/MIME标准)和网络流量(当由虚拟专用网络、传输层安全协议或IPSec协议使用时)。
4.当我们拿到A$的认证信息,我们把流量中继向认证服务器
5.我们获得一个以机器A用户认证的证书
6.我们通过Rubeus asktgt功能用这个证书向AD发起kerberos认证
7.我们获取到TGT并请求目标机器的TGS,获取机器权限
写在最后:不仅原理比较复杂,利用起来也需要各种环境前提,但是确实强。
。:.゚ヽ(。◕‿◕。)ノ゚.:。+゚防盗专用。:.゚ヽ(。◕‿◕。)ノ゚.:。+゚
^_^文章来源:微信公众号(边界骇客) ^_^
本文始发于微信公众号(边界骇客):ca证书中继认证
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论